-
ブルーチーム
最近開いたファイルを調査しよう!【Shortcut Files編】
こんにちは、ぎんたです。 IT・フォレンジック・セキュリティアナリスト関連業務を8年ほどやっております。 前回記事でRecent Filesについて解説していたけど、他にも同じように最近開いたファイルを確認できるアーティファクトはあるのかな? インシデン... -
ブルーチーム
最近開いたファイルを調査しよう!【Recent Files編】
こんにちは、ぎんたです。 IT・フォレンジック・セキュリティアナリスト関連業務を8年ほどやっております。 社員の端末がマルウェアに感染したことが判明したが、どのようなファイルを開いたのか? ある社員が業務中に端末を使ってネットサーフィンばかり... -
ブルーチーム
最近開いたフォルダを調査しよう!【ShellBags解析編】
こんにちは、ぎんたです。 IT・フォレンジック・セキュリティアナリスト関連業務を8年ほどやっております。 ユーザーが機密情報を故意に流出させた疑いがあり、該当のフォルダを端末で開いた痕跡があるのか調査したい! 攻撃者が侵入した端末内で、どのよ... -
ブルーチーム
実行されたプログラムを調査しよう!【ShimCache解析編】
こんにちは、ぎんたです。 過去端末上で実行された不正なプログラムの実行履歴を調査したい! 社員がコンプライアンスに違反したアプリを勝手に端末にインストールし、実行した履歴がないか調査したい! このように思うことがあるかもしれませんね。 フォ... -
ブルーチーム
インシデント調査に役立つVirusTotalの使い方
こんにちは、ぎんたです。 VirusTotalって何だろう。 VirusTotalってなんとなく使っているけど、どんな機能があるんだろう? VirusTotalを使ったインシデントに関する分析手法が知りたい? このように思われている方がいるかもしれません。 SOCのアナリス... -
レッドチーム
mimikatzの使い方と認証情報の取得について【防御で必要な知識】
こんにちは、ぎんたです。 IT・フォレンジック・セキュリティアナリスト関連業務を8年ほどやっております。 本記事では、サイバー攻撃者によく使われるmimikatzというツールについて紹介したいと思います。 攻撃者が使うツールについて知ることはサイバー... -
ブルーチーム
PowerShellでの不審サイトへのアクセスをイベントログで発見!
こんにちは、ぎんたです。 IT・フォレンジック・セキュリティアナリスト関連業務を8年ほどやっております。 不審な通信先へアクセスした痕跡って端末内のどのログをみるとわかるのだろう? ネットワーク機器のログ以外で、端末のログでも痕跡があるのか確...