TMCIT × 大和セキュリティ DFIR忍者チャレンジ 参加体験記

はじめに

こんにちは、ゆきゆきです。(Twitter: @yu1c1yu1c1)
2/22 - 2/24に開催されたTMCIT × 大和セキュリティ DFIR忍者チャレンジに参加してきました。
DFIR初心者として飛び込むにはちょっとだけ勇気がいりましたが、結果的に見れば参加してよかったなと思えるイベントでした。
お急ぎの方はここだけ見ていただければ。

目次

1. イベントについて
2. 内容について
   1. 1日目午前
   2. 1日目午後～2日目15:00
   3. 3日目
3. 学び・考えたこと
4. 特別講演
5. おわりに

イベントについて

関西中心のセキュリティ勉強会コミュニティ「大和セキュリティ」主催のDFIR勉強会です。
詳細についてはイベントのconnpassページをご確認ください。ちなみに大和セキュリティはほかにも様々な勉強会を開催しているので、セキュリティに興味があるかたはとりあえずメンバーになっておくことを推奨します。
以下抜粋

WindowsのAD環境が不正アクセスされてしまいました！どのインシデント対応班が一番素早く、かつ正確なWindowsイベントログとフォレンジックアーティファクト解析を行って、正しくインシデント対応できるかをコンテストで評価します。Windows DFIR入門も説明するので、初心者でも大歓迎です。

任務
1．班でWindows DFIR解析の作戦議論せよ。（6忍まで。当日に班を結成する）
2．どのような攻撃があったか調査結果を作成せよ。
3．調査結果を報告せよ。（各班が約８分のプレゼンで調査結果を発表する）

内容について

メインはDFIR¹のCTFおよびレポート作成で、そのほかに特別講演として業界有名人の方々のお話を聞くことができました。
CTFでは侵害を受けた環境のアーティファクト ²をKAPEというツールで収集したZIPファイルがもらえるので、それらをEZ toolsやHayabusaといったフォレンジックツールを活用して解析していきます。どのような攻撃が行われたのかという知識はもちろん、その攻撃が行われたことを確認するにはどのようなアーディファクトを確認すればいいのかというDFIR特有の知識も要求されるCTFでした。

事前学習として運営の方から紹介いただいたサイバーディフェンス研究所のCDIR-L (Community Edition)を使わせていただいたのですが、無償版にもかかわらず内容がとても充実していてよかったです。DFIRって何やるの？という人にはおすすめです。

1日目午前

まずはDFIR超入門として、Prefetchファイル、MFT(Master File Table)ファイル、Windowsイベントログ等について簡単に講義をいただきました。ただしこれらはほんの一部であり、使用されるアーティファクトについては下記にもあるようにたくさんあります。

この時点ですでに心が折れかける。。。

一応簡単に説明すると上記で出てきた3つは下記のような情報が得られるアーティファクトになってます。

• Prefetchファイル

  • C:\Windows\Prefetch\
  • Windowsがアプリケーションの起動速度を向上させるために、頻繁に使用されるプログラムの情報をキャッシュするためのファイル。
  • 特定のファイルが実行されたことや、その日時、実行回数などを確認することが可能

• MFTファイル

  • $MFT　（NTFSファイルシステム内に存在し、通常の方法では確認できない）
  • NTFSファイルシステムにおいて、すべてのファイルとディレクトリのメタデータ（名前、作成・変更日時、サイズ、場所など）を記録。
  • 削除されたファイルの痕跡や、アクセスの履歴、コピーの痕跡等を確認することが可能
  • ファイルサイズが小さければ実際のファイル内容がMFT内に残されていることもある

• Windowsイベントログ

  • C:\Windows\System32\winevt\Logs\
  • Windowsのシステムやセキュリティ、アプリケーションのイベントを記録するログファイル
  • ユーザーのログイン・ログオフ履歴の確認、プロセス実行履歴、外部への接続などを確認することが可能
  • ただしデフォルトの状態で取得できるイベントだけでは不足であり、DFIRに活用するには設定変更がほぼ必須
  • 詳細はこことかここを確認するとよい

1日目午後～2日目15:00

実際にCTFを解きながら、アーティファクトを解析していきます。（CTFの問題自体は全体的な攻撃の流れを追うためのヒントのような位置づけ）攻撃者の侵入経路は？侵害範囲は？被害の規模は？どのようなツールが使われた？時系列にするとどうなる？といった、実際のインシデントレスポンスでも調査するであろう内容を自分の手を動かして調査しました。DFIR超初心者だった私は、アーティファクトの知識もなく使い慣れないツールでの調査となり、同じチームのメンバーやChatGPT等を活用しながらなんとか進めていく感じでした。
内容は公開禁止のため何も書けません。。

イベント自体は17:30で終了なのですが、その後一部の参加者についてはアルコールインジェクションなどの物理攻撃も行われました。（もちろん冗談ですよ？）

3日目

2日目までに侵害内容を調査した結果のレポートを提出しており、それをもとにしたチーム毎の発表がありました。時間の関係上上位10チームでの発表となり、私のチームはそこに入ることができなかったので残念ながら発表の機会はありませんでしたが、ほかのチームの方々がそれぞれ調査した結果判明した攻撃の種明かし（実際に合っているかどうかはともかく）を聞くことができました。自分たちでは見つけきれていなかったところや、考え方が違うところもあり、その後の復習に非常に役立つ良い時間でした。

学び・考えたこと

• アーティファクトって200種類あんねん
• Windowsイベントログはデフォルト設定から変更 + Sysmon有効化しないと役に立たない
• ログを読むには慣れが必要 & ある程度平常時の動作を把握していないとそれが通常のものなのか異常なのかが判断できずドツボにはまる
• 情報が分散しがちなのでホワイトボードや紙などに判明している情報をかき出し、それぞれ整理・紐づけが必要
• チームで動く場合の体制、および情報共有方法の理解が足りなかった
• 調査の流れとしては
  1. Hayabusaなどでイベントログをパースし、Criticalなどのレベル順でイベントを確認
  2. 該当のイベントをログを見つけたら、その前後のログを確認する。その時外部から不審なログインなどがなかったか、不正なプロセスの実行がなかったか、実行元のファイルや作成されたファイルがないか等を見る。
  3. 上記で痕跡を見つけたら、例えばログイン元のログを確認したり、作成されたファイルに関するアーティファクトを確認したり、さらなる分析を行っていく。
  4. 上記を繰り返す。
• 全部のログを見ることは現実的ではないので、どこに目星を付けるのかの技術（勘？）はめっちゃ大事
  • これをどうやって身に着けるかが課題、経験しかない気はしている
  • ただHayabusaなどのツールによりある程度は絞れるので、それに加えてプラスαくらいでいいのかもしれない
  • ただ重要な情報を見落としていそうで怖い、、大丈夫という言いきれる確信はどこから出てくる？　

特別講演

2日目、3日目にそうそうたるメンバーによる特別講演がありました。どの講演も非常に素晴らしいものばかりでした。特に渡辺氏の講演にあったSplunk4DFIRを使った実践的な解析テクニックや川崎氏の講演にあった今回のイベントを入門として今後DFIRの学習を進めていくために使えるリソースの紹介は非常に興味深かったです。※公開リンクが見つからなかったものについては記載していません。

• NOCチーム
• Beyond the Code: AI as the Vanguard of Malware Analysis (ぴんく殿)
• ETWをめぐる攻防 (北原憲氏)
• CTI + Sigmaルールについて (石川朝久（@scientia_sec）)
• Active Directoryハッキング ※よく見る脆弱性 (ルスラン氏)
• 文芸的ログ分析の試み (渡辺慎太郎氏)
• DFIR忍者チャレンジその後に (川崎隆哉氏)

おわりに

DFIR初体験でしたが、入門としてとても楽しいイベントでした。侵害調査などを行うことは普段ないですが、いざ攻撃を受けた際に侵害調査をするための証拠（ログ）を適切に残すように環境を構築するという観点で見てみると、残しておかなくてはいけない情報はなんなのか、そしてそれを実現するためにどのような設定変更や製品導入が効果的なのかといった形で結局は地続きになっておりまったくの畑違いではなかったです。
改めて運営の皆様、関係者の皆様、ありがとうございました。

他の参加者の方による参加記も投稿されておりますのでこちらも併せてご確認ください。

1. デジタル・フォレンジック・インシデント対応。参考 ↩

2. デジタル環境においてユーザーの活動やシステムの動作によって生成される痕跡やデータのこと。フォレンジック調査やインシデント対応の際に、証拠として活用する。 ↩