Fast Forensicsについて(サイバー寄りの手法を不正調査にも使うことを考える)

第1回とらのもんフォレンジック勉強会(2017/01/11)

Kasasagi

※ネットで仕入れた情報を元にした私なりのFast Forenicsです

目次

• Fast Forensicsとは

• Fast Forensicsの特徴

• Fast Forensics(保全)

• Fast Forensics(解析)

• デモ -CDIRによる保全から解析/可視化

• Demo only1

• Demo only2

Fast Forensicsとは

一言で言うと：一部の重要なOSアーティファクトのみを取得(解析)することによって、短時間で行うPC Forensics調査技法のこと。主にサイバーセキュリティの分野で活用される。

背景：PC内のデータや、調査対象機器の増大に伴い、全ての端末を保全することが困難な場面が増加してきたことにより発達してきた。

参考：http://digitalforensic.jp/wp-content/uploads/2014/06/66396c87002dedfdb1d230e7db8f891a.pdf※今回私が話すFast Forensicsの中身の一部は杉山さんの意図するものと少しずれているかもしれません。今日の主旨的に、サイバー寄りのフォレンジック技法を知って、不正調査でもっと活用できないか考えようという意図があるからです。

Fast Forensicsの特徴利点：

・保全時間が短縮できるので、調査対象を増やせる。

・ついでに保全用に用意するディスクが少なく済む。

(・Fast Foreniscsかわからないけど、今日やるタイムライン解析やその可視化をうまく使うと、調査時間を短縮できるかも)

注意点：

・証拠保全の観点から言うと不十分かもしれない

→使い方を誤ると調査結果を裁判で証拠として使用できるかわからない

・ファイル、メールの中身は基本的に見れない(ものによってはメモリから掘れるかもしれないけど)

意見：

案件の種類や、用途、調査に使える時間を考慮して、どのようにFast Forensicを使用するかを考える必要がある。

→一部のファイルだけ取得して調査する？

→保全後に調査に必要なファイルだけ個別にさっさと調査する？

→→許されるなら保全前に一部のファイルだけ先に取得して、保全中にタイムライン解析して、

実データは保全後に調査するのが良いのでは？

Fast Forensics(保全)

ツール：CDIR➕α参考：https://www.cyberdefense.jp/products/cdir.html

取得できる項目：

■メモリ

■MFT

■UsnJrnl

■プリフェッチ

■イベントログ

■レジストリ

自分の欲しいもの(メールとかWEB閲覧履歴)を取れば良い

ファイルの中身以外はフォレンジックで普段調査することは大体わかる

これをディスク保全の前(もしくは代わり)に取得する(赤枠内の取得には5分ほど)

Fast Forensics(保全：+@の部分)

自分が何を調査したいか

そのログはどの

ファイルに記録

されているか

そのファイルを

取得する

Web閲覧履歴を調査した

い

WebCache V*.log

とかhistory.dbと

か

そのファイルを

取得する

自分の欲しいもの(ファイル)がわからない？

BrowserHistory Captureや！

Fast Forensics(解析)

MFT

•ファイルシステム上に存在するすべてのファイルのエントリを管理するファイル(一部削除含むファイルのメタ情報)

UsnJrnl

•OSのトランザクションログ(直近の詳細なアクティビティログ。ファイルの削除もわかる)

プリフェッチ(.pf)

•高速化の為によく使うプログラムの情報を保持したファイル(プログラム実行履歴)

イベントログ

•OS上で発生した定義されたイベントを記録(shutdownやログオンなど)

レジストリ

•OS上の設定を記録したデータベース(OS上の各種設定やログ等)

解析対象アーティファクトの一例(カッコ内はわかること)

Fast Forensics(解析)

先ほどのアーティファクトはPlasoで解析可能(windowsは安定性が低い気がするのでSIFT推奨)参考：http://www.atmarkit.co.jp/ait/articles/1609/30/news005_3.html

更に、ElasticSearchやsplunk,timesketchなどで可視化も可能参考：http://www.kazamiya.net/elasticsearch_kibana_plasohttp://port139.hatenablog.com/entry/2014/06/02/141718https://www.youtube.com/watch?v=xe0qJriD7aM

※大量保全用のfast Forensicsは今日はスコープ外。だけど、リモートから各端末にエージェントを送ってデータ吸い上げる系も大きなテーマ。

デモ1CDIRによる保全→plaso→splunk

CDIRで保全plaso※で

パース

psortでcsv

形式に変換

splunkで可

視化/解析

※フォルダ単位でplasoにかけるとファイルアクティビティが閲覧しにくいので、analyzeMFT.pyとかflsを使うのも良い。(Disk Imageをパースするとファイルアクティビティも見やすい結果になる。)

plaso→splunkで何ができる？(簡単なものだけ)

・統計データの可視化・わがまま検索

plaso→splunkで何ができる？(簡単なものだけ)

統計データの可視化

これが0だったら、その日はパソコン触ってないってこと

「FILE」をクリックすれば、ファイル操作に関するアクティビティーのみ閲覧可能

plaso→splunkで何ができる？(簡単なものだけ)

統計データの可視化

・特定のメール関連ファイルの拡張子やフォルダ名を表示しておくようにすれば、Loose files(メーラからドラック&ドロップでローカルに落としたアーカイブファイルとは別の個別のメールファイルなど)や何のメーラが使われているかもわかる。(無拡張子メールファイル用に特定のフォルダの存在を表示するみたいなこともできる)→EnCaseのMail Condition的なものも自分でデザインできる。

・あと、Web閲覧履歴の中の「gmail」という文字列があったら自動表示とか。

・拡張子別にファイルがどのくらいあるか表示。→FTKのExplorer表示みたいなものを自分でデザインできる

わがまま検索

ファイル作成に関するアクティビティのみのタイムラインを検索して可視化。

もちろん、日別の結果をクリックすれば、その日のファイル作成アクティビティのみ閲覧できる。

plaso→splunkで何ができる？(簡単なものだけ)

後はDemo only