Go to Qiita Advent Calendar 2024 Top
LoginSignup
7
11

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 3 years have passed since last update.

@comedy_love

【ネタバレ注意】NIST公開イメージでフォレンジック

Last updated at Posted at 2020-06-22

オンライン・フォレンジック勉強会(初級編)

株式会社イエラエセキュリティさんが開催された、フォレンジック勉強会で学んだことをまとめます。
今回は、NISTのトレーニングイメージを使いました。
このイメージのシナリオを雑にまとめると、企業の情報漏洩が起き、社員が情報提供者という内部犯行の可能性を、フォレンジックによって解明していく、というものです。

使用したツール

  • regripper
    レジストリのデータを人が見てもわかるような、txt等の形式で出力してくれる

  • Autopsy

Autopsyは、The Sleuth Kitで使用されているオープンソースプログラムやプラグインの多くを簡単に展開できるコンピューターソフトウェアです。グラフィカルユーザーインターフェイスは、基礎となるボリュームのフォレンジック検索の結果を表示し、調査担当者がデータの関連セクションにフラグを付けるのを容易にします。(wikipediaより)

初心者目線では、削除されたファイルに赤いバツ印がつく機能がすごいと思いました。

  • Access Data FTK Manager

FTKは、速度・安定性・使いやすさを実現するために構築された、デジタルデータを調査するためのプラットフォームです。フィルタリングや高速検索などの機能を活用することにより、解析速度が劇的に向上し、証拠となり得るデータを絞り込んだ調査を行うことが出来ます。ファイルやドライブ内の構造だけでなく、レジストリや、暗号化されたファイルのキーやパスワードを解析するパッケージも取り揃えており、フォレンジック調査に必要な機能が包括的に網羅されています。(Focus Systems Webページより)

  • Kernel OST Viewer
    まず、OSTファイルとは、Outlookデータファイルで、常にメール サーバーに保存したアイテムのコピーのこと。
    本ツールは、OSTファイルをメールのように表示してくれたり、Outlookのアカウント無しで読み込むことができたりHTMLの記法でメールの情報を保存できたりします。
    公式HPより

アカウント無しでメールが開けることは、マルウェアが含まれる可能性があるメールを開くときに有用です。

実践内容

限られた時間だったので、一部の問題が扱われました。
また、筆者の独断から一部省略しています。

Time Zoneを調べる

トレーニングイメージは最後がpc.E01のものを扱いました。
まず、regripperのHiveファイルから、解析したいファイルSAM, SECURITY, SOFTWARE, SYSTEMをCtrlキーなどで複数選択、右クリックで「export files」選択します。
適当なtxtファイルの名前をつけて抽出します。
コメント 2020-06-22 191720.png
抽出されたtxtファイルのなかからtimezoneという言葉を見つければ終わり。
コメント 2020-06-22 191308.png

###メールを探る
次も最後がpc.E01の名前のトレーニングイメージを使います。
まず、Autopsyを用いてOutlookのデータファイルを見つけます。
なぜここでOutlookを探るかというと、いま目をつけている(内部犯行が疑われる)ユーザがOutlookユーザという事前情報があるからです。
autopsy.png
このファイルをAutopsyで抽出し、Kernel OST Viewerで見ます。
冒頭でも書きましたが、マルウェアがあるかもしれないので、自分のOutlookアカウントを使用することは避け、OST Viewerを用います。
Inkedkerne_mail_LI.jpg

怪しいメールは削除されるというあたりをつけ、Deleted Itemsの中を見ます。
やり取りの相手が「spy」という、怪しさが明らかすぎるメールがありました。

Google Driveのトランザクションファイルを見る

上で見つかったGoogle Driveのリンクで情報の授受が行われている疑いが強いので、Drive記録を見ます。
下のsync_log.logファイルを抽出します。
コメント 2020-06-22 214720.png

「action.deleted」で文字列検索をかけると、消去された(怪しい)データが出てきます。
青く選択された行のjpgファイルと、その上のmp3ファイルが消されていることが分かりました。
drive_log.png

拡張子のかくれんぼ

ファイルの最後がrm#2_E01というトレーニングイメージを使います。
下で選択されているmy_smartphone.pngに注目します。
kakutyousi_pk.png

pngファイルの身なりをしていますが、下のファイルのメタデータを見ると、PKから始まっており、圧縮ファイルのようです。
そこで抽出して、拡張子をzipにして展開してみます。
kakutyousi_zip.png
wordという名前があり、Wordファイルで作成されたもののようです。
そこで、先ほど変更したzipという拡張子を、今度はdocsとしてみます。
開きました。
価値がありそうな感じです。二重の変装をしていました。
Inkedkakutyousi_docs_LI.jpg
)

おわり

楽しかったので勢いで書けてしまいました。
勢いなので、理解ミスがあるかもしれないです。
なんでもご指摘のほどよろしくお願いいたします:)
フォレンジックの定石を学んでいきたいです;)
イエラエセキュリティ様、ありがとうございました~~

7
11
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
7
11

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?