4ensiX

4ensiX

FPと言ったものはFPを選んだが表示はTPになっていることに気づいた。

LetsDefend level 1 alert SOC131 - Reverse TCP Backdoor Detected event-id 67

LetsDefend Malware

Details playbook Define Threat Indicator Check if the malware is quarantined/cleaned Analyze Malware Check If Someone Requested the C2 Add Artifacts End Details EventID: 67 Event Time: March 1, 2021, 3:15 p.m. Rule: SOC131 - Reverse TCP Ba…

#LetsDefend

LetsDefend level 1 alert SOC132 - Same Malicious File Found on Multiple Sources event-id 68

LetsDefend Malware

Details playbook Define Threat Indicator Check if the malware is quarantined/cleaned Endpoint Security MikeComputer JohnComputer Sofia Analyze Malware msi.dat 81.68.99.93 Check If Someone Requested the C2 Add Artifacts End Details EventID:…

#LetsDefend

LetsDefend level 1 alert SOC134 - Suspicious WMI Activity event-id 71

LetsDefend Malware

Details Playbook Define Threat Indicator Check if the malware is quarantined/cleaned Endpoint Security 161.35.41.241 Analyze Malware Connection to 161.35.41.241 315 316 317 318 余談 Check If Someone Requested the C2 Containment Add Artifac…

#LetsDefend

LetsDefend level 1 alert SOC135 - Multiple FTP Connection Attempt event-id 72

LetsDefend

Details playbook Collection Data Source Address: 42.192.84.19 Destination Address: 172.16.20.4 User-Agent:Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.88 Safari/537.36 Search Log 371 372 …

#LetsDefend

LetsDefend level 1 alert SOC136 - Data Leak via Mailbox Forwarding Detected event-id 74

LetsDefend

Details playbook Parse Email Are there attachments or URLs in the email? yandex[.]ru Add Artifacts End Details EventID: 74 Event Time: March 7, 2021, 5:31 p.m. Rule: SOC136 - Data Leak via Mailbox Forwarding Detected Level: Security Analys…

#LetsDefend

LetsDefend level 1 alert SOC105 - Requested T.I. URL address event-id 75

LetsDefend

Details playbook Analyze Threat Intel Data 67.199.248.10 https[:]//bit[.]ly/TAPSCAN Add Artifacts End Details EventID: 75 Event Time: March 7, 2021, 5:47 p.m. Rule: SOC105 - Requested T.I. URL address Level: Security Analyst Source Address…

#LetsDefend

LetsDefend level 1 alert SOC138 - Detected Suspicious Xls File event-id 77

LetsDefend Malware

Details playbook Define Threat Indicator Check if the malware is quarantined/cleaned EndpointManagement Analyze Malware ORDER SHEET & SPEC.xlsm 177.53.143.89 multiwaretecnologia.com[.]br Check If Someone Requested the C2 LogManagement Add …

#LetsDefend

LetsDefend level 1 alert SOC137 - Malicious File/Script Download Attempt event-id 76

LetsDefend Malware

Details playbook Define Threat Indicator Check if the malware is quarantined/cleaned Log Search 368 Mar, 07, 2021, 01:50 PM Proxy 172.16.17.37 48463 49.51.12.195 443 iluuryeqa[.]info 49.51.12.195 369 Mar, 07, 2021, 01:54 PM Proxy 172.16.17…

#LetsDefend

LetsDefend level 1 alert SOC103 - Malicious APK Detected event-id 80

LetsDefend Malware

Details playbook Search Log Analyze APK search APK End Other writeup Details EventID: 80 Event Time: March 15, 2021, 9:55 p.m. Rule: SOC103 - Malicious APK Detected Level: Security Analyst Source Address 10.15.15.14 Source Hostname JessieP…

#LetsDefend #Malicious APK

LetsDefend level 1 alert SOC119 - Proxy - Malicious Executable File Detected event-id 79

LetsDefend Malware

Details Create Case Collection Data 140.82.121.4 Search Log Analyze URL Address Add Artifacts End Details EventID: 79 Event Time: March 15, 2021, 9:30 p.m. Rule: SOC119 - Proxy - Malicious Executable File Detected Level: Security Analyst S…

#LetsDefend

LetsDefend level 1 alert SOC119 - Proxy - Malicious Executable File Detected event-id 83

LetsDefend Malware

Details Create Case Collection Data Search Log Analyze URL Address Access https[:]//www.win-rar[.]com/postdownload.html?&L=0&Version=32bit www.win-rar[.]com 51.195.68.163 Add Artifacts End Details EventID: 83 Event Time: March 21, 2021, 1:…

#LetsDefend #WinRAR

SecurityAnalystっぽいことができる!今一押しのサービス「LetsDefend」

LetsDefend Phishing Mail

今まで、 公開情報から何となくマルウェアの解析とかしていた 無料で配布されているデータセットや資料に倣って学習していた 等でイマイチ実際にSOCであったりでやっていることのイメージがはっきりとしていなかったが、「LetsDefend」に触れたことで「現場…

#LetsDefend #フィッシングメール #マルウェア

NIST CFReDS Hacking Case writeup

Forensics NIST CFReDS

NIST Hacking Case Scenario On 09/20/04 , a Dell CPi notebook computer, serial # VLQLW, was found abandoned along with a wireless PCMCIA card and an external homemade 802.11b antennae. It is suspected that this computer was used for hacking…

#Digital Forensics #NIST #CFReDS

docker buildのlayerごとに作成されたファイルの場所

Misc Docker

docker buildしたときのレイヤーごとに作成されたファイルの在りかを探る。 使用するDockerfile Dockerfileはdockerの公式サイトのgo buildサンプルを使用する。 # syntax=docker/dockerfile:1 FROM golang:1.16-alpine WORKDIR /app # git clone https://gi…

#Docker

TryHackMe Memory Forensics writeup

Forensics THM memory

Task1 Here are some resources I used, check them out for more information: Volatility: https://github.com/volatilityfoundation/volatility/ Volatility wiki: https://github.com/volatilityfoundation/volatility/wiki Cheatsheet: https://book.ha…

Debianにとりあえずpython2を入れて最低限volatilityを使えるようにするメモ

Forensics Misc memory

インストール python2でvolatilityを動かすために必要なものをinstall python2 sourceのダウンロード python2のインストール python2 pip のダウンロード volatilityのダウンロード volatilityのために必要なpython2ライブラリのインストール yaraのインスト…

#Volatility #Forensics

Recycle binのメモ(Windows 7, Vista, XP)

Forensics Windows diskimage

資料を読んで覚えておきたいと思ったRecycle binに関するメモ。 参考 Dumpster diving ごみ箱のロゴの変遷 ごみ箱のプロパティ RECYCLER(XP) and $Recycle.Bin(7,Vista) Recycle binの実体のフォルダの名前はSID "S-1-5-21-51003140-4199384537-3980697693-5…

#フォレンジック #Windows

tailscaleでグローバルアドレス無し環境でのリモートアクセスの実現

Misc

前置きはせずに本題からいくと、Tailscaleを利用すればChrome remote desktopのように環境を気にせずにリモートアクセスの環境が整えられる。 Tailscaleでリモートアクセス とにかく、使い方も簡単でOSごとのアプリケーションをインストールして、ログインが…

Technical - ENISA を読んだ覚書

Forensics apktool adb android Autopsy diskimage memory packet volatility

以前に、Forensics学ぶならTechnical - ENISAが良いというようなことを聞いていて遂に取り組む時が来た。以下は、インシデントレスポンス未経験な学生が取り組んだ覚書である。ときどき、取り組むタイミングによってモチベに差があったので本当に適当になっ…

proxmoxにvirtualboxのマシンをインポートする

proxmox Misc qemu

ある日、仮想化基盤をやってみたいと思いました。なのでproxmoxを入れました。 www.proxmox.com 設定はここら辺で。 Proxmox VE 6.1をインストールしてみた | fefcc.net ProxmoxVEのセットアップと利用 - Qiita 自分の場合は、物理マシンにインストールしま…

twitterのキーワード検索結果を割とタイムリーに[slack/discord]botで通知する

misc

いつもと全く毛色は異なるが、せっかく調べたのでまとめておく。 プロローグ bot作成 slack/discordのwebhookを作成 slackの場合 discordの場合 IFTTTの設定 使用感 今後の展望 プロローグ twitterのキーワード検索をbotに通知して貰いたいと考えていたのが…

Digital Forensics challenge まとめ(2021/12/01 更新)

Forensics

Digital Forensicsを学ぶ同士達へ捧ぐ CTFでDigital Forensics skillsは学べない。 ならば、どこで学ぶか。 その一部を以下に示す。 学習サイト DFIR-TRAINING Forensic Artifacts DFIR Resources Learn Computer Forensics with Online Courses and Lessons…

riftCTF2020 Stegano writeup

CTF Stegano riftCTF

5月なのに何で3月のCTFのwriteup書いているんだろと自問自答している。 今回は2020/03/20 15:30 JST - 03/21 15:30に行われた「riftCTF2020」のStegano writeupをお届けする。 ctftime.org Stegano_0x0001 Stegano_0x0003 Stegano_0x0004 Stegano_0x0001 Ste…

riftCTF2020 Forensic writeup

CTF Forensics riftCTF

3月が終わっていないのに、5月になってしまったヤバい。 焦りつつ今回は2020/03/20 15:30 JST - 03/21 15:30に行われた「riftCTF2020」のForensics writeupをお届けする。 解けてないのもある。 ctftime.org Forensics 0x0001 Forensics 0x0002 Forensics 0x…

Time Problems - Securinets CTF Quals 2020 Forensics writeup

CTF Forensics SecurinetsCTF memory

最近急に教育コンテンツが充実したことで、無限の目移りを繰り返す日々を繰り返す。 引き続き、2020/03/22 2:00 - 03/32 2:00 JSTに行われた 「Securinets CTF Quals 2020」の「Time Problems」をお届け。 前回↓ Time matters - Securinets CTF Quals 2020 F…

Time Matters - Securinets CTF Quals 2020 Forensics writeup

CTF Forensics memory SecurinetsCTF

世間は4月の終わりを迎えているが、writeupの3月の終わりが中々迎えられない人です。 今回は、2020/03/22 2:00 - 03/32 2:00 JSTに行われた 「Securinets CTF Quals 2020」の「Time Matters」をお届け。 ctftime.org Time Matters Just do some magic on thi…

Little - SuSeC CTF 2020 Forensics writeup

CTF Forensics diskimage SuSeC

Autopsyの無料トレーニングを終えていい気分でいたものの、書いておきたいwriteupが貯まりに溜まりまくってるこの頃。 今回は、2020/03/15 15:30 ~ 2020/03/17 03:30 (JST) に行われた「SuSeC CTF 2020」の「Little」をお届けする。 ctftime.org Little A li…

UTCTF 2020 Forensics writeup

CTF Forensics

土, 07 3月 2020, 09:00 JST — 月, 09 3月 2020, 09:00 JST 2020/03/07 9:00 JST - 03/09 9:00に「zer0opsCTF 2020」の裏では、「UTCTF 2020」が行われておりました。ここで出題されたForesics問の話をする。とても易しくて分かりやすいものばかりであった。…

Locked KitKat - zer0ops CTF 2020 Forensics writeup

Forensics zer0ops CTF The Sleuth Kit android

世間様は4月ですが、自分は3月を振り返っています。 2020/03/07 09:00 JST — 2020/03/09 09:00 JSTに行われた「zer0ops CTF 2020」の「Locked KitKat」のwriteupをお届け。 ctftime.org 色んな人が書いているので、見飽きているかもしれないけれど見ている方…

Autopsy & The Sleuth Kitの基本的な使い方(2020/04/12更新)

Forensics tool Forensics diskimage Autopsy The Sleuth Kit

autopsyとthe sleuth kitいえば、ディスクイメージの解析に使われるツールキットである。 この記事では、基本的なautopsyとthe sleuth kitの使い方を軽くさらっていく。 The Sleuth Kit (TSK) & Autopsy: Open Source Digital Forensics Tools 今回はイメー…