穴掘り

前のポストからだいぶ間が空いてしまった。

さて、インシデントレスポンス(IR)に必要な知識や用語を羅列。
個人的にIRのフォレンジックは「穴掘り」とか「隠れん坊」だと思っています。
隠れたマルウェアを探すという。

⚫︎フォレンジック
ファイルシステム(NTFS, FAT32, ext3など)
==>NTFSだと$STDInfoや$Filename
MACタイム
==>時間が大事
フォレンジックツールの使い方(EnCase, X-Waysなど)

⚫︎Windows
レジストリ
==>後述の自動起動などなど登録されます
自動起動(スタートアップフォルダなど)
==>上記のフォルダ以外にもグループポリシーなど

⚫︎ログ解析
HTTPのメソッド
==>8つのうちGET, POSTとCONNECTぐらい
splunk
==>テキスト処理でゴリゴリより定義した情報でビジュアル的にも見えやすくしてくれてレポートが捗る
テキスト処理コマンド(awk, sedgrepなど)
==>検索、置換などなど

⚫︎マルウェア解析
IIDA
B'Z

ほかにもいっぱいあるけど、書いてて疲れたので今日はここまで。