12/15 數位鑑識初探

1. DFIR101
簡易數位鑑識入門
2021/12/15 海豹

2. `whoami`
海豹 - 尤理衡
- 不務正業大學生
- 陽明交通大學 大四
- CTFer @ BambooFox / TSJ
- 網路維運玩家
- SITCON 2021 副召

3. DFIR ?
什麼是 DF？什麼又是 IR？
01

4. DF = Digital Forensics / 數位鑑識
IR = Incident Response / 事件應變

5. Digital Forensics ?
- 數位鑑識
- 定位出可能對目標單位有害的物件
- 惡意程式
- C2 連線
- 壞員工
- APT Group
- 提供證據給執法單位 / IR Team

6. IncidentResponse ?
- 事件應變處理
- 對已經被識別的資安事件做處置
- 被打了怎麼辦？
- 止損 / 消除威脅

7. DF VS IR
- 相輔相成
- DF
- 找出對於事件相關的資料
- IR
- 過程中需要鑑識資料

8. IR 中的資料來源
要怎麼知道被打了 / 被打了要看什麼
02

9. IR 中我們可能會看哪些資料？
員工行為
下載了什麼？
什麼時候存取？
網路
不正常流量？
規律流量？
主機
惡意程式？
CPU / GPU？
Memory？
Disk？
套件資訊？

10. 網路 / 員工行為
你看到有員工電腦
11:03 連向惡意網域

11. 網路資訊
- Firewall （防火牆）
- 上網行為管理 Log
- WAF Log
- NAT Log
- VPN Log
- DNS Log
- 封包內容
- TLS SNI 等

12. 主機資訊
- 防毒日誌
- Windows Event Log / syslog
- Web Access / Error Log
- 硬碟資訊
- 服務
- Autorun （自動啟動程式）
- 記憶體
- Process
- 惡意程式 Config

13. 資料彙整- Log
- Elastic 全家桶
- ELK
- Elasticsearch + Beats
- Splunk

14. 資料彙整- Splunk
- 安裝簡單
- 一定程度後要錢

15. 資料彙整- Elastic
Elasticsearch + Beats + Kibana

16. Log 彙整練習
Elastic + Beats + Kibana
03

17. Install Docker
https://www.docker.com/

18. Install Elasticsearch
- docker pull
docker.elastic.co/elasticsearch/elasticsearch:7.16.0
- docker run -p 9200:9200 -p 9300:9300 -e
"discovery.type=single-node" --name=dfires
docker.elastic.co/elasticsearch/elasticsearch:7.16.0

19. Install Elasticsearch

20. Install Kibana
- docker pull docker.elastic.co/kibana/kibana:7.16.0
- docker run --link dfires:elasticsearch -p 5601:5601
docker.elastic.co/kibana/kibana:7.16.0

21. Elasticsearch & Kibana
- ES: http://127.0.0.1:9200
- Kibana: http://127.0.0.1:5601

22. Kibana

23. Elasticsearch + Beats

24. Beats
Filebeat
一般 Log 檔 網路封包
Packetbeat
Windows
Event Log
Winlogbeat

25. Beats
Filebeat
一般 Log 檔 網路封包
Packetbeat
Windows
Event Log
Winlogbeat

26. Download Packetbeat
- https://www.elastic.co/downloads/beats/packetbeat

27. PacketbeatIndex / Dashboard Setup
- ./packetbeat setup

28. Start Packetbeat Data Collection
- ./packetbeat run

29. 可以分析什麼
- 網路
- 惡意 Domain 查詢
- 異常大量流量
- 服務日誌
- Web 攻擊 Pattern
- SQL Injection、XSS

30. Disk Analysis
硬碟分析
04

31. 硬碟採集- 防寫保護

32. 硬碟採集- On Host
VM / Container
Export VM
Or
Export RootFS
Windows
FTK Imager
Linux
dd

33. FTK Imager

34. 檔案還原
- 惡意程式足跡
- 員工滅證

35. 檔案還原- HOW
1 2 3 4 5 6

36. 檔案還原- HOW
1 2 3 4 5 6

37. Host Event Analysis
主機事件分析
05

38. Windows
- Windows Event Log
- %System32%winevtLogs

39. Windows Event Log
- Event Code
- 4688 in Security: Process Creation
- 7045 in System: Service Installed
- 4624 in Security: Logon Success

40. Windows Event Log - Sample
- https://github.com/sbousseaden/EVTX-ATTACK-SAMPLES

41. Windows - Sysinternal
- Autoruns
- Process Monitor
- TCPView
- ProcDump
- Process Explorer

42. Memory
記憶體分析
06

43. 記憶體會有什麼？
- 執行起來的程式 (Process)
- 程式執行過程中所使用的內容 (Config、Payload)
- 作業系統相關資訊
- 時間
- 版本
- 畫面資訊
- ….

44. 記憶體採集工具
- MAGNET RAM Capture
- FTK Imager

45. 記憶體採集- Magnet RAM Capture

46. Install Volatility
- docker pull phocean/volatility
- docker run --rm -v /dump路徑:/dumps:ro,Z -ti
phocean/volatility

47. 判別系統
- docker run --rm -v $(pwd):/dumps:ro,Z -ti
phocean/volatility -f /dumps/malware.mem imageinfo

48. 列出 Process
- docker run --rm -v $(pwd):/dumps:ro,Z -ti
phocean/volatility -f /dumps/malware.mem pslist

49. Q & A
問問題時間！
07

50. CREDITS: This presentation template was created
by Slidesgo, including icon by Flaticon, and
infographics & images from Freepik
Thanks
- 007seadog@gmail.com
- +886 920498225
- seadog007.me
- seadog007.work
Please keep this slide for attribution