一方的に書き連ねるブログ

航海してすぐ後悔

成し遂げました。

こんばんは。はしだいです。

 

 

このブログの月間PVが100超えました。

というかここ3日で超えました。

 

DWUお嬢様の記事

ディスク証拠保全の記事

FTK Imagerの記事

 

で超えました。

 

 

このブログを始めるに当たり、目標の一つが100PV超えることだったので達成感があります。

 

 

記事の伸びが良いのはVTuberの記事ですね。

 

 

DWUお嬢様と月ノ美兎委員長の対決見ました?

最高じゃないですか?(語彙力の消失)

 

ボーボボとエロゲの話してる委員長可愛くないです?

DWUお嬢様の顔が良すぎません?

 

 

まだ見てないオタクは見て。

www.youtube.com

 

3Dだから回れるDWUお嬢様と、腕が回らない委員長かわいくないです??

 

あと田中のおっさん、見てます?

www.youtube.com

 

 

待たせたな。

って言ってほしすぎません?

 

 

 

今週は怒涛です。

 

 

今週の楽しみは水曜に行われる催しですね。

なんだかんだぼきはセキュリティがすこなのかもしれません。

 

最近は社外活動に力を入れています。

というのも、私はベンダになるのですが致命的な問題が発生しています。

 

 

 

ユーザーの運用がわからない

 

これを解決するためにもWG等の活動にはできるだけ参加したいと思ってます。

勉強会だと個人の活動という感じがあって、それはそれで参加してみたいんですけどね。

 

 

 

 

 

 

 

先日氷結ストロング 500ml×24本を購入したんですが、

生活水準の下がる音が聞こえます。

年明けから休肝日を設けれていないのですが、流石に来週の健康診断の前日は控えめにしておきたいと思います。

 

 

健康診断まで猶予があるので、今日も酒を飲みます。

 

 

FTK Imagerでデータ保全 発展編

データ保全ツールである、FTK Imagerについて紹介します。

無料で使えるソフトウェアでありながら、実際の現場でも頻繁に使用されている高機能なイメージングソフトです。

 

今回は発展編として、メモリ保全レジストリの取得方法を紹介します。

 

 

メモリの保全が求められる場面としては、ウイルス感染時が考えられます。

親プロセス、子プロセスがわかれば相関関係も求められますし、プロセス実行でロードされているプログラムのパスが分かればその後の調査をスムーズに進められます。

しかしメモリ取得には考えなければいけない点があります。

 

Windows10にではメモリアクセスによるBSoDの発生率が高いです。(Windows7に比較して)

フリーでメモリ取得できるツールは多々ありますが、BSoDを発生させずにダンプできるツールはそこまで多くないようです。

企業等での使用や、自作erの方ですとWindows 10 Enterpriseを使用している方も少なからずいらっしゃると思います。

Windows10 Enterpriseに搭載されているセキュリティ機能である、Crendential Guardが有効になっていると大概のツールではメモリダンプ取得時にBSoDが発生します。

 

Credential Guardに関しては下記参照してください。

docs.microsoft.com

 

FTK Imager並びにFTK Imager Lite(32bit)もCredential Guard有効環境ではBSoDが発生します。

BSoD回避できるツールとしてはDumpItがあるようですが、検証していないので詳細は省きます。

 

ですので今回はCredential Guardが有効になっていない端末で、FTK Imagerを用いてメモリを取得する方法を紹介します。

 

 

FTK Imagerを起動し、ツールバーにあるRAMのマークをクリックします。

クリックすると保存先やファイル名の設定画面が表示されます。

 

必要事項を入力してCapture Memoryをクリックすると、メモリの取得が開始されます。

手順としては以上で、非常に手軽です。

 

f:id:lip-slips:20180909223033p:plain

 

図1 Memory Capture設定画面

 

 

メモリの取得方法としては非常に簡単ですが、あくまで「Capture Memory」実行時に実行されているプロセスのみが保存されるという点に関してはご留意ください。

確実に取得したいプロセスがあるときは、Process Explorer等を使用してターゲットプロセスをサスペンドするなどしてください。

 

Process ExplorerWindows Sysinternalからダウンロードできます。

docs.microsoft.com

 

 

メモリ取得は以上です。

 

 

続いてFTK Imagerの便利機能のObtain Protected Filesを紹介します。

Obtain Protected Filesとは名前の通り、通常では保護されていて取得することができないファイルを取得する 機能です。

C:\Users\USER\NTUSER.DAT

C:\Windows\system32 以下のSAM、SECURITY、software、system等を取得する機能です。

 

 

FTK Imagerを起動し、ツールバーのObtain Protected Filesをクリックします。

(メモリ取得の右隣です。)

f:id:lip-slips:20180909223802p:plain

図2 Obtain Protected Files

 

クリックすると下記画面が表示されます。

保存先やオプションの設定ができます。

設定できるオプションとしては

・ユーザーログオンPasswordの解析に必要な最小限のファイルのみ取得

・Password解析に必要なファイルとすべてのレジストリの取得

 

の2種類があります。

今回はPassword recovery and all registrty filesを選択します。

 

f:id:lip-slips:20180909223902p:plain

図3 保存先とオプションの設定

 

必要事項入力したら、OKを押下します。

取得の進捗はプログレスバーで表示されます。

完了したら、指定した保存先にレジストリファイルが保存されています。

 

f:id:lip-slips:20180909224210p:plain

図4 取得したレジストリファイル

 

 

フォレンジック調査においてはレジストリ解析は重要です。

softwareを解析するとインストールされているファイルの一覧や、自動実行のファイル等の情報が入手できます。

systemはタイムゾーンやマシンの設定に関する情報が入手できます。

その他の情報については各自必要に応じて調べてください。

 

これらのレジストリファイルを一括で取得できるのはFTK Imagerの強みです。

 

 

 

今回は発展編として、メモリ取得、レジストリ取得について紹介しました。

FTK Imagerに関してはこの記事を持って一旦終了とさせていただきます。

 

 

 

FTK Imagerでデータ保全 保全編

データ保全ツールである、FTK Imagerについて紹介します。

無料で使えるソフトウェアでありながら、実際の現場でも頻繁に使用されている高機能なイメージングソフトです。

 

今回は保全編です。

 

前回の記事ではダウンロードから解凍してインストールまでを紹介しました。

FTK Imagerでデータ保全 ダウンロード編 - 一方的に書き連ねるブログ

 

今回は実際の保全エビデンスのマウントとイメージファイルの作成)について紹介します。

 

 

FTK Imagerを起動したら、File > Add Evidence Item をクリックします。

 

f:id:lip-slips:20180909074851p:plain

図1 File > Add Evidence Itemをクリック

 

Add Evidence Itemをクリックすると、ロードするエビデンスの種類を選択する画面が表示されます。

f:id:lip-slips:20180909074951p:plain

図2 エビデンス種類の選択

 

Physical Driveは物理ディスクになります。FTK Imagerを起動しているホストマシン自体のディスクもマウントできます。このモードではディスクの全領域をマウントできます。

実際の使用想定では、ホストコンピュータに接続した外部デバイス保全する際に使用します。

 

Logical Driveは論理ディスク取得になります。

Physical Driveでマウントすると、パーティションレベルで表示されるのに対して、Logical DriveではCドライブ等のボリューム単位での取得が可能です。

 

今回はLogical Driveでマウントしてみます。

Logical Driveのラジオボタンを選択しNextをクリックすると、マウントする対象ボリュームの選択画面になります。

選択したら Finish をクリックします。

 

f:id:lip-slips:20180909075325p:plain

図3 対象ボリュームの選択

 

FinishをクリックするとMFT(Master File Table)がロードされ、選択したボリュームがマウントされます。

 

 

f:id:lip-slips:20180909075538p:plain

図4 MFTのパース

 

パースが完了するとマウントされたディスクの内容が、ツリー構造で表示されます。

 

f:id:lip-slips:20180909075653p:plain

図5 表示されたディレクトリ構造

 

Windowsの場合、[root]がCドライブに相当します。

 

ディスクの内容をトリアージする場合はこの機能が有効です。

 

 

ディスクをマウントした後はイメージファイルとしての出力が可能です。

イメージファイル出力に関しては物理ディスクの保全と合わせて紹介していきます。

今回はTailsがインストールされたUSBメモリを対象に紹介していきます。Tailsは匿名OSとして有名です。エドワード・スノーデンが使用していることでも有名になりました。

 

物理取得をする際は、File > Add Evidence Item > Physical Driveうを選択します。

するとデバイスを選択する画面が表示されます。

先程Logical Driveで取得したときは、ドライブレターの割当があるボリュームが表示されていたと思います。

Physical Driveで取得する際はデバイス名が表示されます。

 

今回のターゲットはHP製USBメモリです。

 

f:id:lip-slips:20180909103240p:plain

図6 取得するPhysical Driveを選択

 

Finishをクリックするとマウントされます。

対象デバイスがマウントされたら、右クリックしてExport Disk Imageを選択します。

f:id:lip-slips:20180909103422p:plain

 

図7 Export Disk Image

 

Export Disk Imageをクリックすると、イメージファイルの設定画面が表示されます。

 

f:id:lip-slips:20180909103544p:plain

図8 設定画面

 

Image Sourceが対象デバイスを指していることを確認したら、Addをクリックして保存先を指定してください。

下部のチェックボックスはお好みで設定してください。今回はイメージファイル取得後にハッシュ値の検証を行うため、Verify Image after they are createdにチェックを入れています。

 

Image DestinationのAddをクリックするとファイル形式選択画面が表示されます。

f:id:lip-slips:20180909103820p:plain

図9 ファイル形式選択

 

今回はE01形式で保存します。

E01形式についてはここを参照してください。

www.forensicsware.com

 

形式を選択したら次へをクリックします。

するとエビデンスの情報を記入する画面が表示されます。

必要に応じて入力してください。

f:id:lip-slips:20180909103952p:plain

図10 エビデンス情報入力画面

 

入力が完了したら次へをクリックしてください。

するとようやく保存先の指定、ファイル名の指定が可能になります。

今回はユーザーのデスクトップにTailsというフォルダを作成し、保存先に設定しました。イメージファイルの名前はTailsとしています。

 

f:id:lip-slips:20180909104058p:plain

図11 イメージファイルの保存先設定

 

Image Fragment Sizeはイメージファイルの分割を行う際に設定してください。

圧縮可能な形式で保全する場合は圧縮率の設定ができます。

 

 

必要事項を設定したらFinishをクリックします。

その後の画面でStartを押下することで取得が開始されます。

 

進捗状況はプログレスバーで確認することができます。

f:id:lip-slips:20180909104418p:plain

図12 イメージファイル取得の状況

 

また今回はイメージファイル取得完了後にハッシュ値の計算を行う設定にしてあります。

ハッシュ値計算も進捗状況をプログレスバーで確認できます。

 

f:id:lip-slips:20180909104509p:plain

図13 ハッシュ計算の進捗

 

ハッシュ値の算出が完了すると結果が表示されます。

f:id:lip-slips:20180909104606p:plain

図14 ハッシュ計算の結果

 

 

この結果はイメージファイルが保存されているディレクトリにもtxt形式で保存されます。

その際の命名規則は ファイル名.E01.txtになります。

 

指定したディレクトリに保存されていればイメージファイルの取得が完了です。

 

f:id:lip-slips:20180909104719p:plain

図15 イメージファイルの保存

 

 

 

保全編は以上です。

次回はメモリやレジストリ保全について紹介します。

 

 

FTK Imagerでデータ保全 ダウンロード編

データ保全ツールである、FTK Imagerについて紹介します。

無料で使えるソフトウェアでありながら、実際の現場でも頻繁に使用されている高機能なイメージングソフトです。

 

今回はダウンロード編です。

 

FTK ImagerはAccessDataという会社が提供しています。

AccessData社HPへアクセスします。

https://www.accessdata.com/

 

ページ上部の Product & Servicesへマウスオーバーします。

Products Downloadsをクリックします。

 

f:id:lip-slips:20180909073049p:plain

図1 AccessData社トップページ

 

f:id:lip-slips:20180909073328p:plain

 

図2 Product Downloads

 

 

遷移したページの中部にある FTK Imager をクリックします。

 

f:id:lip-slips:20180909073456p:plain

図3 FTK Imagerをクリック

 

好みのバージョンを選択してください。

2018/9/9時点での最新バージョンは4.2.0です。

 

f:id:lip-slips:20180909073614p:plain

図4 好みのバージョンを選択

 

 

 

名前やメールアドレス、所属等を入力します。

この際入力するメールアドレスはフリーメールアドレスだと弾かれてしまうようです。

一応セキュリティツールなので、悪意を持って使用されないようにするための措置だと思います。

 

f:id:lip-slips:20180909073651p:plain

 

図5 必要事項を入力

 

 

しばらくして入力したメールアドレスにダウンロードリンクが届くので、そのリンクからFTK Imagerをダウンロードします。

形式はzipですので、お好きなディレクトリに格納した後、解答してインストールしてください。

 

次回はデータ保全の方法を紹介します。

 

 

 

技術的な内容は書きません

一応IT企業に勤めてるはしだいです。

 

 

今日はインシデント発生時の証拠保全について書きます。

(ディスクフォレンジックを対象に考えています。)

 

 

アンチウイルスや内部監査、情報流出等、インシデント発生には様々な理由があります。

その後の原因調査のためには、証拠保全が必要です。

証拠保全というのは、インシデント発生時の状態でできる限り変更を与えずに完全なコピーを作成することを指します。

 

基本的にはddコマンドやFTK Imager、Boot Mediaのようなツールを用いて、全領域でデータの完全コピーを作成します。

全領域というのは文字通り「ディスクの未使用領域を含めた全領域」です。

HPAやDCOも解除して保全を行います。

 

ざっくりした説明になりますが、通常データ削除というのは「ファイルシステムの枠組みから外れる」ことを指します。

Windowsの場合だと、右クリックから削除やShift + Delete等でファイル削除ができます。

見た目上は削除されたように見えますが、処理的にはファイルの削除は行われていません。

ファイルシステムの枠組みから外れて、「上書き可能」な状態になります。

削除されていないファイルは上書き不可能な状態になっています。

データが上書き可能な状態になり、その領域が上書きされることで初めて「完全な削除」が行われます。

 

削除データの復元についてはNHKでも紹介されていましたね。

www.nhk.or.jp

>「今、復元処理が完了しました。」

>「簡単に復元できるんですね?」

>「朝飯前ですね。」

 

このやりとりは笑いそうになりますが。。。

 

 

通常のファイル復元(データカービングとも)は、ディスクの1セクタ目から最終セクタまでを舐めていって、シグネチャやヘッダの情報に合致するものがあれば復元を試みる。というものです。(ツールによって変わるかもしれません。)

 

 

で、このデータ復元を行うためには全領域が保全されていることが前提になります。

※前述の通り、削除されたデータは上書き可能な状態になります。

 

 

 

大きく分けて保全には、物理コピーとイメージコピーの2者があります。

 

物理コピーは1:1でバイト配列、構成が全く同じ複製を作成するものです。

物理コピーは全く同じディスクをもう一つ作成するイメージです。

保存先にはファイルシステムは必要ありません。

 

イメージコピーは、ディスク全領域をイメージファイルの形式でコピーを作成します。

ddイメージやE01イメージが有名です。isoやUDF形式のようなイメージです。

拡張子を持ったファイルの形式でコピーを作成するので、保存先にはファイルシステムが存在する必要があります。

ddイメージは無加工のRAWで取得します。

E01はデータブロックごとにCRCチェックサムを付与し、最終ブロックにハッシュを付与します。

www.forensicsware.com

 

で、保全したあとはハッシュ値を算出して証拠性を確認します。

ハッシュ値の比較検証を行う際には、ハッシュ衝突について留意してください。

MD5SHA-1の衝突はggってください。

近年では衝突を考慮してSHA-256のような強固なハッシュを用いるのが好ましくなっています。

ただビット長が長くなるので処理時間も長くなります。

そこを懸念するのであればMD5SHA-1の両方を算出し、2つで比較検証してください。

原本とコピーのハッシュが一致しないと、証拠能力を著しく損ないます。

逆に一致していれば、証拠能力は担保されます。

 

 

証拠保全については以上になりますが、保全作業にあたっては考慮すべき事項があります。

それは暗号化ディスクについてです。

 

 

MacであればFileVault2やAPFSの暗号化、T2チップによるハードウェア暗号があります。

WindowsであればBitLocker、TPM、FIPSがあります。

その他暗号化ソリューションもありますね。秘文、VeraCrypt等あります。

 

基本的に証拠保全については、

暗号化を解除した状態で保全する

ことが求められます。

暗号化を解除しない状態で保全すると、当然ですが暗号化された状態でコピーが作成されます。

 

暗号化解除するためには電源投入する必要がありますので、原本を改変せずに保全を行うことが難しくなります。

なので運用に合わせて、取るべき手法を変えましょう。

 

 

 

RAID構成されたディスクについては、容量の問題やRAID再構築の問題があります。

そういった場合は論理取得を行いましょう。

論理取得とは、システムから認識されている領域を保全することを指します。

(いわゆるCドライブやDドライブ等。未割り当て領域やHPA/DCOの領域は含みません。)

論理であれば複数のディスクを用いてRAID構成していても、単一のディスクとして認識されるので保全が可能になります。

 

 

この記事が証拠保全作業を行う方の手助けになればと思いつつ。。

 

 

それでは良い保全ライフを。

 

 

 

 

 

 

 

 

 

 

DWUの何がDeepWebなのか

DarkWebの観測にハマっているはしだいです。

ハマってるというかセキュリティに身を置く人間としての興味ですね。

 

私は別に脆弱性とかマルウェアとかにはあまり興味はありません。

それよりもむしろ内部不正とかソーシャルエンジニアリングに興味があります。

 

 

で、タイトルにも書いてるんですが、

新人バーチャルYouTuberのDeep Web Underground(通称DWUお嬢様)がいらっしゃるじゃないですか(周知)

 

でDWUお嬢様なんですけど、

www.youtube.com

自己紹介動画をアップしているんですよ。

そしてこの動画の中で"漫画村を燃やす"と宣言されております。

 

 

またイスラム国に志願した北大生や、0chiakiことcheenaさんと対談するなど、ディープWebっぷりを発揮しております。

 

普通に見れば"尖ったVTuber"というくくりになるかと思います。

 

ですがこれは現代インターネットユーザーに行ける金字塔になりえるのではないかと思います。

 

またCheenaさんのブログで漫画村の広告詐欺についての記事がアップされています。

漫画村外伝:広告詐欺と仕掛け人三兄弟 – 無能ブログ

 

技術的な内容にも言及されていますので、技術がわからない方にはなんのこっちゃって感じだと思います。

 

簡単にいうと、漫画村にアクセスすると見えないところで複数のサイトにアクセスされて、それぞれのページで広告が表示されている。

ってことです。

漫画村については星野ロミでggると幸せになれます。いや、幸せではない

また、漫画村を実質的に潰したのはねとらぼのこの記事だとも言われています。

nlab.itmedia.co.jp

 

 

---

 

私は一応都内のセキュリティの会社に勤めており、SOCサービスやインシデントレスポンス等のサービスを行っております。

そしてお客様先で漫画村にアクセスした端末があり、UTMにてブロックされたという事象が発生しました。

 

 

海賊サイトを始めとする違法コンテンツ配信サイト(The Piratebayが有名ですね。)が広告収入に変わる収益方法としてCoinhiveを導入しているという話があります。

(神奈川県警がCoinhiveを設置したデザイナーを逮捕したのは、業界に波及したように思います。記事はこちらです。

仮想通貨マイニング(Coinhive)で家宅捜索を受けた話 - Webを楽しもう「ドークツ」

 

先程ちらっと書きましたが、私はフォレンジックの仕事をしております。

そしてモロさんの記事に記載されている。

>(デスクトップPCはOS含む全データ削除の上後日返還。)

 

ここがワタシ的にはミソです。

通常フォレンジックというのは

>事故や不正行為、犯罪といったインシデントに関わるデジタル機器に残されたデータの中から、電磁的証拠となり得るものを、確実にそのまま(As-is)で収集(Collection)取得(Acquisition)し、保全(Preservation)
しておくことは、デジタル・フォレンジックの運用者にとって最も重要なことである。

(証拠保全ガイドライン第7版 デジタル・フォレンジック研究会 より引用)

https://digitalforensic.jp/wp-content/uploads/2018/08/guideline_7.1st.pdf

 

というのが前提です。

 

要は、データに対して1バイトの改変も加えないように、コピーを作成する。というのが大前提なのです。

 

 

データ削除の上返却なんていうのは悪手中の悪手です。

日本の警察ってのはこの程度なのです。

 

 

話がだいぶそれてしまいました。

 

 

DWUお嬢様はCheenaさんやISISに志願した北大生等と対談形式での動画をアップしています。

またDWUお嬢様はエロゲ声優をやられていたようです。

 

 

数年前までは「嘘を嘘と見抜ける人でないと、インターネットを使うのは難しい」というのが普遍的で絶対の現実でした。

しかし現代においてはIoTを始めとして、スマートフォンの普及等により誰でもインターネットを使用することができます。

そしてTwitterをはじめとして、はてブ等を見ていると、ユーザのリテラシーの低下(というよりは日本語の読解能力の欠如)を如実に体験することができます。

また海賊版根絶に端を発した、某カワンゴの話もあります。

 

 

 

己の身は己で守るということはDWUお嬢様は教えてくれるのです。

 

 

 

 

DWUの顔が良すぎる。。。

 

 

"優勝"した

氷結ストロングレモンの500ml×24本を購入して優勝したはしだいです。

 

 

完全に優勝です。

飲まなきゃやってられない。

というかアレですよ?

酒入ってるほうが私のパフォーマンス上がりますからね?

 

まず饒舌になります。

そして頭の回転がさらに早くなります。

更に声がでかくなります。

 

 

つまりですよ。

講演会の時とかは飲酒が良いってことなんですよね。

 

 

...

 

 

はい。

明日は市ヶ谷で講師してきます。

 

正直ただのHWのオタクになりそうです。

 

 

僕の部屋は酒瓶とかが転がってるので逆に生活感がないです。(当社比)

すくなくともアル中の部屋ですよこれ。

 

 

マンション買ったっていう某機械学習エンジニアのブログ、炎上してますね。

火のないところに煙は立たないといいますが、現代インターネットにおいては出火元が自分では無いときがあるのでホワイレス。

 

 

みなさんインターネットはお好きですか?

僕はお好きです。

 

インターネットに救われてきました。

でも最近のインターネットはリテラシー低い人も参入してきているので難しいです。

昔みたいな自由なインターネットに戻りたいです。

 

ドワンゴのCTOの某ンゴさんが頓珍漢な発言ばかりしていてうんざりです。

OP53BとかISPによるブロッキングとかクソすぎ。

 

やはりこれからのインターネットを守れるのは

Deep Web Undergroundお嬢様だけですわ。

 

 

DWU!!! DWU!!!

 

 

お嬢様の動画を見つつ、今宵も酒を飲みます。(もう飲んでる)