はてなブックマーク

ImHex という Hex エディタを Ubuntu 20.04 にインストールしたときのメモ書きです。 ImHex ImHex を Ubuntu 20.04 にインストールする ImHex の画面設定 動かしてみた感想 参考文献 ImHex 公式 cmake 周り 参考にしたトラブルシューティング 付録 concepts が見つけられないというエラーについて 「CMake Error at cmake/build_helpers.cmake:55」について 更新履歴 ImHex ImHex は2020年の12月に公開された比較的新しい、午前3時にがんばる人のための Hex エディタです。 *1 GitHub - WerWolv/ImHex: A Hex Editor for Reverse Engineers, Programmers and people that value thei

2023-01-10 curl は URL 指定でデータを受信（もしくは送信）するためのコマンドラインツールです。 Linux ではよく利用されるコマンドのひとつで、最近になって Windows 10 でも標準で組み込まれるようになったので、最新版の Windows 10 であればコマンドプロンプトに「curl」と打ち込むことで利用できます。 curl https://curl.se/ https://curl.se/ curl でアクセスすることでコマンドライン上に情報が綺麗に表示されるよう最適化されているサイトがいくつかあるのは知っていたのですが、それらをまとめたサイトがあったので、実際に表示させてみて面白かったものをピックアップしてみました。 なお、以下の画像はすべて「Windows Terminal」のコマンドプロンプト上で curl を実行した結果を貼り付けたものです。*1 cu

2023-01-10 VMware ESXi は物理マシン上に直接インストールするベアメタルハイパーバイザーと呼ばれるソフトウェアのひとつで、これを使うことで1台の物理マシン上に複数の仮想マシンを構築することができます。 サーバの仮想化などに使われている印象です。 VMware ESXi は、有料の vSphere エディション の一部としてだけでなく、無料の vSphere Hypervisor エディション としても提供されており、ライセンス登録こそ必要ですが vSphere Hypervisor であれば比較的気軽に利用することができるようになっています。 vSphere Hypervisor (ESXi) の最新版である 7.0.0 が 2020年04月02日 に公開されました。今回はこれを導入し、ライセンス割り当てや初期設定としてネットワークとNTP周りの設定までをしていきます。

2023-01-10 手元にマシンを置いてあれこれしてみたくなったのと、手を動かして作ってみたい気持ちだったので ESXi を導入するためのマシンを作りました。そのときのいろいろをまとめたメモです。 ほとんど知識ゼロベースで調べながら選んでいったので、購入した CPU クーラーが マザーボードと干渉して取り付けできないという悲しい事件もありましたが、 目的の ESXi が動くマシンにはたどり着けました。 （2020/12/30 追記） 数か月ほど使ってみて、やはり必要だなぁと追加した製品などについて追記しました。 構成概要 パーツ CPU （参考）AMD 系 CPU と ESXi の互換性について マザーボード メモリ ネットワークカード 追加したネットワークカード SSD 電源 付録 追加で取り付けた CPU クーラー 最初に用意していたCPU クーラー おまけでついていた SD カード

2023-01-10 2019年10月～2019年12月にツイートしたりリツイートしたツイートからまとめています。 DFIR関連 架空のシナリオに基づくフォレンジックCTF macOS上に現存するappの痕跡？-appList.datについて Emotet に関する感染の様子（タイムライン） これなしでは生きていけない10の無料フォレンジックツール フォレンジックアーティファクト収集ツール - Speaker Deck Malware解析関連 Predator the thief についての詳細解析記事 Azorult の解析記事 Emotet に関する詳細な調査報告レポート 自己完結型フィッシングページ（Self-Contained Phishing Page）の解析記事 二重底のような zip が攻撃に使われたそうです Palo Alto のブログで紹介されていた Powershell

2023-01-10 APT グループ名や利用マルウェア名から、関連する APT グループの概要をさくっと知るのに便利なサイトをまとめました。 APT グループの概要を知りたいとき Threat Group Cards: A Threat Actor Encyclopedia APTMAP Groups | MITRE ATT&CK The Cyberthreat Handbook その他 APT攻撃グループ | FireEye Meet the Advanced Persistent Threats (APTs) | Threat Actors APT Groups and Operations サイバー戦モデルの研究（その2） - 防衛省・自衛隊 参考文献 付録 お蔵入りした「A Threat Actor Encyclopedia」の日本語訳 更新履歴 APT グループの概要を知りたい

2023-01-10 EXIST は VirusTotal や Shodan、Twitte などの情報を API を通じて取得し、脅威情報（IPアドレスやハッシュ値）の関連情報を横断的に検索することができる「サイバー脅威情報集約システム」です。 MISP と連携可能なので、ここでは EXIST+MISP 環境を構築していきます。 なお、CentOS 7 に対して EXIST+MISP 環境を自動で導入できるスクリプトを github で公開しています。 手っ取り早く環境構築したい場合は以下からご利用ください。 EXIST+MISP 環境を自動で導入できるスクリプト github.com EXIST+MISP 環境を自動で導入できるスクリプト サイバー脅威情報集約システム EXIST とは CentOS 7 のインストール GUI ありの場合は画面ロックを無効化しておきます MISP のイン

背景 TLを眺めていたら以下の記事を見かけた。 Zone Identifier に記録される内容が Web ブラウザによって異なるというもの。 とっても面白かったので手元の環境でも試してみた。 thinkdfir.com （参考）Zone Identifierとは Windows XP SP2のZoneIdとは？：Tech TIPS - ＠IT 記事の内容をなぞって検証してみる 検証環境 検証した環境は以下の通り。特にバージョンを合わせることまではしなかった。Windows7 の IE が 8 なのはご愛嬌。 Windows 10 Enterprise 1809 Windows 7 Enterprise SP1 Chrome : 69.0.3497.81 Chrome : 68.0.3440.106 Firefox : 62.0 Firefox : 62.0 IE : 11.1.17751

2023-01-10 FLARE VM を使って解析環境を作ったときのメモ。 FLARE VM とは FLARE VM を導入する Microsoft Defender Antivirus を無効化する インストール手順 インストールの完了 インストール直後の FLARE VM 導入されたツール一覧 右クリックメニュー 環境設定の変更点 導入されていたパッケージ FLARE VM のカスタマイズ パッケージの追加インストール サクラエディタの設定 「SAKURAで開く」を右クリックメニューに追加する サクラエディタをMonokai風の配色する パッケージのアップデート 付録 FLARE とは FLARE VM 導入によって変更される環境設定について 初期導入されていたツール名一覧 初期導入されていた Chocolatey パッケージ一覧 FLARE VM を利用した理由 VMware で

2023-01-10 2019年4月～9月のツイートからまとめています。 DFIR関連 侵害有無を簡易に調査する Linux コマンド15選 DNS 通信から悪性な通信を見つける調査観点 AmCache に関する ANSSI の報告書 NTFS Journal Forensics プログラムを実行したからといって、それを"利用したかどうか"は別問題 Volatility：Windows 10 のメモリ圧縮への対応 メールに含まれる一見それと気づかないタイムスタンプの見つけ方 イベントログのタイムスタンプについて KAPEを使ってタイムラインを作成するチュートリアル スレットハンティングに有用な検索クエリの一覧 Sysmon の DNS クエリ周りのログについて WMI 関連の永続化情報 WMI Event Subscription の解析 Windows10 のエラー報告ファイル（*.WE

2023-01-10 データ収集ツール インシデントレスポンスの初動対応で端末からデータを取得するのに利用できそうなツールをいくつか試してみました。 主にファイルダンプ取得を目的として、ぱっとそのまま使えるものをという観点でいくつかの機能を確認し、結果を表にまとめました。（※1、※2、※6） 実行結果（Windows 環境で確認） # 名称 対応OS $MFT $UsnJrnl $LogFile Evtx Registry Prefetch Browser History Memory Dump Report 配布場所 1 CDIR Collector Windows OK OK - OK OK (+.log) OK IE/Edge, Chrome, Firefox OK Log 公式サイト 2 CyLR Windows, Mac, Linux OK OK OK OK OK (+.log)

2023-01-10 「フォレンジックに手を出してみたいけれど解析できるようなイメージデータがない」というときによさそうなイメージデータを集めました。 シナリオと解答付きのものを優先して集めています。 ジャンルは主にPCのディスクイメージですが、メモリイメージやネットワークパケット、携帯電話やドローンのイメージデータ、メールデータなども含みます。 NISTが提供するフォレンジック練習向けのイメージデータ Technical - ENISA 仙台CTF 2017 コンピュータフォレンジック教育研究用途のデジタルコーパス Computer Forensics CCIC Training Digital Forensic - Training Materials Defcon DFIR CTF 2018 DFRWS Challenges Magnet Forensics CTF 2022 ima

2023-01-10 CAPE CAPE (Malware Configuration And Payload Extraction) は 2016年9月頃に github に公開されたマルウェアサンドボックスです。Cuckoo （より正確には spender-sandbox）をベースに開発されており、多くのマルウェアからペイロードや設定情報を自動的に抽出することができます。 CAPE（github） GitHub - ctxis/CAPE: Malware Configuration And Payload Extraction CAPE（無償で試せるオンライン版） https://cape.contextis.com/submit （2023/01/10：アクセス確認できず） CAPE: Malware Configuration And Payload Extraction 対応して

2023-01-10 MalConfScan 2019年4月22日頃に JPCERT/CC が github に「MalConfScan」というマルウェア解析ツールを公開しました。Volatility プラグインで、複数のマルウェアについて「設定データ」「デコードされた文字列」「DGAドメイン」を抽出できるというものです。 MalConfScan GitHub - JPCERTCC/MalConfScan: Volatility plugin for extracts configuration data of known malware MalConfScan - github 対応しているマルウェアは以下の通り。 Ursnif Emotet Smoke Loader PoisonIvy CobaltStrike NetWire PlugX RedLeaves / Himawari /