IIJ Technical WEEK 2010 三日目
-
- いいね!0
yoppy3
@yoppy3
保全の推奨事項: 保全が実施されるまでは状態維持に努める。保全対象は未使用領域も含めたメディア全体。揮発性の高いデータから優先して。書き込み禁止で実施 #iij_tw2010
2010-11-19 14:48:05
yoppy3
@yoppy3
フォレンジックツールでは、システムのAPIに頼らずに独自にメディアの構造を0からパースする。マルウェアなどの影響を受けにくいということと、削除された(というようにマークされた)データやその断片を抽出可能であるため #iij_tw2010
2010-11-19 14:49:40
yoppy3
@yoppy3
インシデントの対応例: WebProxyのログから Drive by Downloadによってマルウェア感染したノートPCが判明。ディスクを簡易解析(暗号化解除、検体取得、特徴的なファイル/レジストリ取得)、ディスクイメージ作成、イメージを解析 #iij_tw2010
2010-11-19 14:51:57
yoppy3
@yoppy3
解析の例: タイムライン調査。時系列にWeb履歴を見てどこにアクセスしていたか、どこに転送されたかを追いかける #iij_tw2010
2010-11-19 14:53:13
yoppy3
@yoppy3
起こりうる問題: マルウェアによるアンチフォレンジック、感染した疑いのあるPCが多数ある、感染したPCが遠隔地に存在する。アンチフォレンジックの例としては、タイムスタンプの改ざんなど #iij_tw2010
2010-11-19 14:54:41
yoppy3
@yoppy3
NTFSのMFT(メタデータの保存先)は、2種類のタイムスタンプセットを持つ。SI属性はAPIによって変更可能、FN属性は変更できない #iij_tw2010
2010-11-19 14:56:40
yoppy3
@yoppy3
対応スピード上げる取り組み: メモリフォレンジックツール。ディスクの前にメモリを調べる。終了したプロセスやクローズした通信を調べることが可能。仮想アドレスを変換してポインタを解決したり、カーネルオブジェクトをcarvingしたり #iij_tw2010
2010-11-19 14:58:52
yoppy3
@yoppy3
遠隔地対応では、エージェントを介した遠隔プレビュー・保存なども。メモリ上に展開されたプロセスやDLLの特徴量を計算して既存マルウェアとマッチングすることで対応速度高速化 #iij_tw2010
2010-11-19 15:00:52
yoppy3
@yoppy3
クラウドといえば「 」である: Google/Amazon/SF/Azure/XaaS/欲しいときに欲しいだけ使える/ネットに繋がればどこからでもアクセスできる/使ったら使っただけお支払い #iij_tw2010
2010-11-19 15:05:30
MORI Tomoya
@moritomoya
アプリからタイムスタンプをいじってもフォレンジック調査でバレると... RT @yoppy3: NTFSのMFT(メタデータの保存先)は、2種類のタイムスタンプセットを持つ。SI属性はAPIによって変更可能、FN属性は変更できない #iij_tw2010
2010-11-19 15:05:47
yoppy3
@yoppy3
利用が進むにつれて現実が見えてきた: リソースにも限界がある、障害でサービスが止まる、従量課金はメリットにもデメリットにも。 ブラックボックスに対する不安 #iij_tw2010
2010-11-19 15:09:36