Forensics

※ 移行前の元ブログ記事 : GCFA(GIAC Certified Forensic Analyst)合格した - #include <sys_socket.h> GIAC Certified Forensic Analystというのに合格した報告です。 以上です。

※ 移行前の元ブログ記事 : Magnet User Summit CTF 2019 WriteUp [Mobile] - #include <sys_socket.h> Magnet User Summit 2019 Magnet Forensicsというフォレンジック製品などをやっている企業のサミットが2019/04/02～2019/04/03に行われていました。 https://magnetusersummit.com/ Twitterで「#mus2019」で検索すると現地の様子がなんとなく分かりそう。発表スライドとかもあったりする。 https://twitter.com/search?q=%23mus2019 今回も、以前のDFIR CTFのようにMagnet User Summit CTF 2019として開催されていたものが、公開されていたのでやっていきの記事です。 AXIOMの使い方を学ぶ的な問題。 Hacking Exposed Computer Forensics Blog Daily Blog #657 MUS2019 DFIR CTF open to the public : https://www.hecfblog.com/2019/04/daily-blog-657-mus2019-dfir-ctf-open-to.html Magnet AXIOMという有償のフォレンジックツールが2019/05/04までのトライアルのキーがついて使用することができてすごい。 せっかくなので使ってみる感じで、頑張ってAXIOMだけでとりあえずやっていきます。 https://www.magnetforensics.com/products/magnet-axiom/ 「Mobile」カテゴリはモバイルフォレンジック的な感じの問題で、Android端末のデータを取得したケースが与えられてそれについて質問していくという感じです。 やっていきましょう。 AXIOMのインストール AXIOMは一応日本語対応はしていますが、設定する際に「日本語」ではなく、「English」にする方が良いです。 (CSVなどのファイルに出力する際、カラムが結構厳しい日本語とかになってしまうので) インストールしたら、ライセンスが聞かれるので、ファイル名「AXIOM 30-day Trial Key Install by May 4.txt」にキーが書いてあるのでそれをライセンスキー入力する。 Mobile ケースファイル「AXIOM - Mar 28 2019 114941 Mobile/Case.mfdb」 Image Type 2pt 問題文 ...

※ 移行前の元ブログ記事 : SECCON 2018 Online CTF Forensics問題 Write-up - #include <sys_socket.h> はじめに SECCON2018のオンライン大会のForensics問題のWrite-up フォレンジック問題はやるかと腰を上げてやるだけやった UnzipとHistory Unzip 問題文 $ Unzip flag.zip. Write-up ファイル名:unzip.zip_26c0cb5b40e9f78641ae44229cda45529418183fのZIPファイルが落ちてくる． $ file unzip.zip_26c0cb5b40e9f78641ae44229cda45529418183f unzip.zip_26c0cb5b40e9f78641ae44229cda45529418183f: Zip archive data, at least v1.0 to extract 普通にzipファイルなのでunzipする $ unzip -d unzip unzip.zip_26c0cb5b40e9f78641ae44229cda45529418183f Archive: unzip.zip_26c0cb5b40e9f78641ae44229cda45529418183f extracting: unzip/flag.zip inflating: unzip/makefile.sh unzipするとflag.zipとmakefile.shが出てくる flag.zipは暗号化されたZIPファイル $ ls -la .rw-r--r--@ 225 socketo 27 10 0:10 flag.zip .rwx---r-x@ 99 socketo 27 10 0:10 makefile.sh makefile.shの中身を見ると，zipパスワードにperl -e "print time()"で出力されたunixtimeが設定されていることがわかる echo 'SECCON{'`cat key`'}' > flag.txt zip -e --password=`perl -e "print time()"` flag.zip flag.txt このzipファイルが作成された時の時間を調べる為にexiftoolで調べる ...

※ 移行前の元ブログ記事 : Defcon DFIR CTF 2018 # Image2 - FileServer WriteUp - #include <sys_socket.h> はじめに 以下の記事の続き． Defcon DFIR CTF 2018 # Image1 - HRServer WriteUp ディスクイメージの容量が大きくて削除したいので供養(すべて解けていないので誰か教えてください状態) File Server Basic HR Serverの問題を解いているといつの間にかNextという項目が増えて，Image2.7zのパスワードが開示されるので，Imag2(File Server)をやっていくことができる File Server - Basic 1(2) 問題文 What is the volume serial number of the only partition on the File Server Disk Image Volumeのシリアルナンバーを答える． FTK Imagerで開いているイメージファイルのFile System Informationを見る． FLAG:C096-2465 File Server - Basic 2(2) 問題文 ...

※ 移行前の元ブログ記事 : Defcon DFIR CTF 2018 # Image1 - HRServer WriteUp - #include <sys_socket.h> はじめに インターネットを眺めていたら，Magnet Forensicsが開催してaいたDFIRのCTF「Defcon DFIR CTF 2018」が公開されていたのでやった話（全部は解けていない） The #Defcon #DFIR #CTF is now open to the public. https://t.co/IdOE23dMzh #infosec— David Cowen (@HECFBlog) 2018年8月13日 Hacking Exposed Computer Forensics Blog Daily Blog #451 Defcon DFIR CTF 2018 Open to the Public : http://www.hecfblog.com/2018/08/daily-blog-451-defcon-dfir-ctf-2018.html Defcon DFIR CTF 2018 : https://defcon2018.ctfd.io/challenges 対象イメージファイル 実際に調査するイメージファイルは以下のブログのDropboxのリンクからImage1，Image2，Image3と3つダウンロードできる． http://www.hecfblog.com/2018/08/daily-blog-451-defcon-dfir-ctf-2018.html Image1.7zのパスワードは書いてあるので，それを使う． Image2.7z，Image3.7zのパスワードはCTFの問題を解いていくと分かる． やっていったら長くなったので，Image2とImage3については今後書く予定です． Image 1 : HRServer Image1.7zを展開すると，HRServer_Disk0.e01とHRServer_Disk0.txtが出てくる． HRServer_Disk0.txtを見ると，X-waysでこのディスクイメージを取得したっぽいことが分かる． HRServer_Disk.e01をFTK Imagerで開く． ...

※ 移行前の元ブログ記事 : Digital Forensic Challenge #2 - User Policy Violation Case Write up - #include <sys_socket.h> 本投稿の内容に間違いや問題などありましたら，Twitter経由などでやんわり優しめに教えて頂ければ幸いです．(Twitter:@sys_socket) 恐らく何かしら間違ってたり，足りなかったりします．多分． 誰か教えてください． はい． https://www.ashemery.com/dfir.html のChallenge #2 Case1はこちら Digital Forensic Challenge #1 - Web Server Case Write up - socketo.hatenablog.jp 問題文 This is another digital forensics image that was prepared to cover a full Windows Forensics course. System Image: here Hashes: here Password = here You can use the image to learn the following: File Carving, Custom Carving, and Keyword Searching File System Forensics - NTFS Deep Windows Registry Forensics: System and User Hives SYSTEM SOFTWARE SAM NTUSER.DAT USRCLASS.DAT Other Windows Files: LNK, Jump Lists, Libraries, etc Application Compatibility Cache (ShimCache) Analyzing Windows Search (Search Charm) Analyzing Thumb Caches Analyzing Prefetch Files Analyzing Recycle Bin(s) USB Forensics Events Analysis Email Forensics: Web and Outlook Browser Forensics: Internet Explorer and Google Chrome Skype Forensics This image covers most if not all of the recent system artifacts that you might encounter. Let me know if you need any help or if you are an instructor and want the answers to each part of the case. I will only send the answers to verified instructors. Due to lots of requests, I have decided to compile a manual or a book for the second image with Q&As to help you go through the challenge and solve every part of it. URLs and further explanations will be provided very soon. Stay tuned my friends and happy hunting ;) このイメージで以下のことが学べるらしい ...

※ 移行前の元ブログ記事 : Digital Forensic Challenge #1 - Web Server Case Write up - #include <sys_socket.h> 本投稿の内容に間違いや問題などありましたら，Twitter経由などでやんわり優しめに教えて頂ければ幸いです．(Twitter:@sys_socket) はい． https://www.ashemery.com/dfir.html のChallenge #1 参考: Between Two DFIRns: Ashemery.com: Challenge #1 - Web Server Case Write-up 問題文 A company’s web server has been breached through their website. Our team arrived just in time to take a forensic image of the running system and its memory for further analysis. The files can be found below: 1. System Image 2. System Memory 3. Hashes: 4. Passwords To successfully solve this challenge, a report with answers to the tasks below is required: 1. What type of attacks has been performed on the box? 2. How many users has the attacker(s) added to the box, and how were they added? 3. What leftovers (files, tools, info, etc) did the attacker(s) leave behind? (assume our team arrived in time and the attacker(s) couldn’t clean and cover their tracks) 4. What software has been installed on the box, and were they installed by the attacker(s) or not? 5. Using memory forensics, can you identify the type of shellcode used? 6. What is the timeline analysis for all events that happened on the box? 7. What is your hypothesis for the case, and what is your approach in solving it? 8. Is there anything else you would like to add? **Bonus Question:** what are the directories and files, that have been added by the attacker(s)? List all with proof. **Important Note:** do not use commercial tools for your own learning benefit. 稼働していたWebサービスのシステムディスクのイメージと，システムのメモリから侵害の様子を調査する． ...