Tsurugi linuxというDFIR(Digital Forensics and Incident Response)のLinuxディストリビューションを試してみる

職場の方に教えていただき、SECCONってものに行って参りました~。セキュリティーに関する一大イベント的なものらしいです。職場の方の向上心が半端ないので、自分も頑張らねばと思う今日このごろです。向上心の化身になることを目指して~

2018.seccon.jp

⇧  その中で、Tsurugi linuxというものの存在を知ったので、試してみたいと思います。

Tsurugi と言えば、そう、剣桃太郎!名作漫画「魁!!男塾」の主人公ですかね!


魁! ! 男塾 文庫版 コミック 全20巻完結セット (集英社文庫―コミック版)

押忍、ごっつぁんです。

... .... ........

はい、すみませんでした...

 

ちなみに、イベント内容としましては、「ssmjpは何しにSECCONへ? (Why did ssmjp come to SECCON?)」の皆様の講演がとても面白かったです。

ssm.pkan.org

⇧  ssmjp は、通称:ささみ っていうらしいです、セキュリティ的なインフラの勉強会をメインとしているようですが、謎多し!

難しい話も多かったけど、面白く説明してくれてるので、技術に対して興味を持つキッカケを作ってくれる感じでした。

 

あと、「NIRVANA改弐(ニルヴァーナ・カイ・ニ)」っていう、セキュリティーの状態を目に見える形に映像化する技術がすごかったです。

脆弱性管理プラットフォーム “NIRVANA改弐” を開発 | NICT-情報通信研究機構

「NIRVANA改 SECCONカスタム Mk-IV」でサイバー模擬攻防戦を視覚化! | NICT-情報通信研究機構

フューチャー株式会社(本社:東京都品川区、代表取締役会長兼社長 グループCEO:金丸 恭文、以下フューチャー)は、国立研究開発法人情報通信研究機構(本部:東京都小金井市、理事長:徳田 英幸、以下NICT)が開発した脆弱性管理プラットフォーム「NIRVANA改弐(ニルヴァーナ・カイ・ニ)」と、フューチャーが開発したオープンソースソフトウェアの脆弱性スキャンツール「Vuls」が、2018年5月よりシステム連携したことをお知らせいたします。

脆弱性管理プラットフォーム「NIRVANA改弐」と脆弱性スキャンツール「Vuls」の連動により脆弱性検知の精度や速度が大幅に向上|フューチャー株式会社のプレスリリース

prtimes.jp

it.impressbm.co.jp

 

ちなみに、SECCONって何ぞや?CTF問題に取り組むのがメイン?なのかと、多分。

webio.kohgakusha.co.jp

Capture The Flagの略で、計算機を用いた競技のひとつ。 何らかの方法で隠された文字列(flagと呼ぶ)を見付け出し提出すると得点となる。 セキュリティ系が元であるので、例えばプログラムの脆弱性を突いて鯖に侵入しflagを奪取する、流出したデータを解析しflagを見付け出す、といった想定の問題が多い。 

CTFの紹介と始め方

kimiyuki.net

 

というわけで、Tsurugi Linux のインストールに、レッツ~、トライ。

 

DFIR(Digital Forensics and Incident Response)とは?

そも、DFIR(Digital Forensics and Incident Response)って何ぞや?な情弱な私であるので、ちょっくら調べてみました。

デジタルフォレンジック」とは、電子機器上に残されたデジタル証拠を収集・分析し、脅威や攻撃に対処するための技術を意味します。(コンピュータフォレンジックとも呼ばれます。)

「デジタルフォレンジック・インシデントレスポンス(DFIR)」とは、サイバーセキュリティの捜査技術をデータ漏洩やマルウェアなどに応用させたものです。

デジタルフォレンジックとは何か。

infogov-labo.jp

⇧  ということらしいです。

 

Tsurugi linux は、

Tsurugi Linuxとは、デジタルフォレンジクス、マルウェア解析、OSINT等に使用するツールがあらかじめインストールされた、UbuntuベースのLinuxとのこと。

DFIR用LinuxディストリビューションのTsurugi Linuxを使ってみた - こんとろーるしーこんとろーるぶい

graneed.hatenablog.com

⇧  ということらしいです。Ubuntuベースらしいと。 

tsurugi-linux.org

⇧  公式では、「TSURUGI Linux[LAB]」、「TSURUGI Acquire」、「BENTO」の3つの種類があると。

f:id:ts0818:20181222220209p:plain

⇧  今回は、64bit版である、「TSURUGI Linux[LAB]」を使っていく予定です。

Tsurugi Linux

Tsurugi is an heavily customized Linux distribution designed to support your DFIR investigations, malware analysis and open source intelligence activities.

In this distribution are included the latest versions of the most famous tools you need to conduct an in-depth forensic or incident response investigation and several useful features like device write blocking at kernel level, an OSINT profile switcher and much more!

The system is based on a 64 bits Ubuntu LTS (Long Time Support) and we preferred to use the 16.04 version to have a stable system with more supported tools, but an upgrade to 18.04 LTS version is still planned in the roadmap for next year with also a dedicated repository.

The patched kernel is based on recent 4.18.5 version that implements many new drivers and features. You can use Tsurugi Linux [LAB] in live mode but its main goal is to be installed and became your default forensics lab.

Tsurugi Linux | Digital Forensics and Osint Linux Distribution

 

 

Tsurugi linux のisoをダウンロード

https://tsurugi-linux.org/ にアクセスします。「DOWNLOADS」をクリック。

f:id:ts0818:20181222204742p:plain

「DOWNLOAD MIRROR 2」をクリック。

f:id:ts0818:20181222211821p:plain

 

「tsurugi_lab_2018.1.iso」をクリック。

f:id:ts0818:20181222212024p:plain

イメージファイルが、ダウンロードできました。

f:id:ts0818:20181222214949p:plain



 

Tsurugi linux をインストール

イメージファイルがダウンロードできたので、Virtual Boxで仮想マシンを作成し、ダウンロードしたイメージファイルで、 Tsurugi linuxをインストールしていきたいと思います。

Virtual Boxをインストールしていない場合は、インストールしちゃいましょう。

eng-entrance.com

⇧ Virtual Box のインストール方法は上記サイト様が詳しいです。

 

jyn.jp

⇧ Virtual Box にて仮想マシンを作成する手順は、上記サイト様が詳しいです。

 

で、Virtual Box がインストールされていると仮定して、Virtual Boxを起動します。

f:id:ts0818:20181222215707p:plain

そしたらば、「仮想マシン(M)」>「新規(N)...」を選択。

f:id:ts0818:20181222215808p:plain

「名前(N):」を適当に入力し、「タイプ(T):」を「Linux」、「バージョン(V):」を「Ubuntu(64bit)」で。「次へ(N)」をクリック。

f:id:ts0818:20181222220937p:plain

モリーサイズは、多いほうが良いんでしょうけど、「1024MB」があれば最低限どうにかなるとあるので、デフォルトのまま「次へ(N)」。

f:id:ts0818:20181222221512p:plain

「仮想ハードディスクを作成する(C)」にチェックされた状態で、「作成」。

f:id:ts0818:20181222221704p:plain

「VDI(VirtualBox Disk Image)」にチェックされた状態で、「次へ(N)」。

f:id:ts0818:20181222221817p:plain

「可変サイズ(D)」にチェックされた状態で、「次へ(N)」。

f:id:ts0818:20181222222011p:plain

今回は「50.00 GB」にしてます。「作成」。

f:id:ts0818:20181222222301p:plain

仮想マシンが作成されたら、「通常起動(N)」で。

f:id:ts0818:20181222222542p:plain

ここで、f:id:ts0818:20181222223121p:plainのアイコン(「仮想光学ディスクファイルの選択...」)をクリックで、

f:id:ts0818:20181222222712p:plain

さきほどダウンロードしておいた、イメージファイルを選択します。

f:id:ts0818:20181222223317p:plain

「起動」で。

f:id:ts0818:20181222223411p:plain

f:id:ts0818:20181222223516p:plain

で、画面上でクリックすると、

f:id:ts0818:20181222223543p:plain

って出てくるんで、「キャプチャー」って選択すると、ゲストOS上の操作ができます。ホストOSの操作に戻る時は、パソコンの右側にある「Ctrl」キーを押すと。

f:id:ts0818:20181222225316p:plain

Tsurugi Linux がインストールされています。

f:id:ts0818:20181222225040p:plain

なんか出てきたので、「Open Backup settings」をクリック。どうやら、バックアップの自動化に関する設定ですかね。

f:id:ts0818:20181222225612p:plain

とりあえず、「Scheduling」の「Automatic backup」を「ON」にしときました。で、

f:id:ts0818:20181222230324p:plain で閉じると、

f:id:ts0818:20181222230016p:plain

ファイルの修復のときとかにパスワードの入力をするようにするか?ということらしいけど、今回は、パスワードなしで。「Continue」をクリック。

f:id:ts0818:20181222230247p:plain

とりあえず、インストールはできたらしい。

f:id:ts0818:20181222230611p:plain

ちょっと、「Guest Additions」とかインストールしないと、ゲストOSとホストOSのマウス操作が面倒くさいことになっているので、近いうちにインストールしたいかと。

 

なんか、いま「Guest Additions」入れようとするとエラーになっちゃうのよね...

f:id:ts0818:20181222230916p:plain

f:id:ts0818:20181222230954p:plain

Could not mount the media/drive 'C:\Program Files\Oracle\VirtualBox\VBoxGuestAdditions.iso' (VERR_PDM_MEDIA_LOCKED).

終了コード : 
E_FAIL (0x80004005)
コンポーネント: 
ConsoleWrap
インターフェース: 
IConsole {872da645-4a9b-1727-bee2-5585105b9eed}
呼び出し先: 
IMachine {b2547866-a0a1-4391-8b86-6952d82efaa0}

ちょいと調べてみます。(2018年12月23日の追記のほうで、解決しました。)

とりあえず、シャットダウンで。

f:id:ts0818:20181222232535p:plain

f:id:ts0818:20181222232602p:plain

なんか、Enter押したら、エラーっぽい感じに...

f:id:ts0818:20181222232638p:plain

Escキーで、実行されてるスクリプトが表示されるんだけども、エラーっぽい...

というか、シャットダウンが終わったのか分からない...

f:id:ts0818:20181222233150p:plain

致し方ないので、「仮想マシン」>「ACPI シャットダウン」したんだけど、うんとすんともならず...

f:id:ts0818:20181222233836p:plain

右上の「×」ボタンを押したあとに表示されるダイアログで、「仮想マシンの電源オフ(P)」にチェックされた状態で、「OK」。

f:id:ts0818:20181222234109p:plain

仮想マシンが停止できましたが...

f:id:ts0818:20181222234346p:plain

なんか、普通にシャットダウンできないって...どうなんだろう...

2018年12月23日(日)追記:↓ ここから

なんか、起動しなくなり申した...

f:id:ts0818:20181223103827p:plain

ja.stackoverflow.com

⇧  上記サイト様によりますと、

考え方としては物理マシンにOSをインストールする時と同じで、インストールメディア(CD/DVD等)をHDDよりも先に参照するよう設定する必要があります。

  • 仮想マシンの設定でインストールに使用するISOイメージが「ストレージ」で選択されているか確認。
  • 同じく仮想マシンの設定で「システム」>「マザーボード」の「起動順序」で光学をハードディスクより上に移動しておく。

virtualbox - No bootable medium found! System halted.になる。(virtual box) - スタック・オーバーフロー

とのこと。

というわけで、一旦、シャットダウンで。 

f:id:ts0818:20181223104225p:plain

で、該当する仮想マシンで、「設定(S)...」で。

f:id:ts0818:20181223104453p:plain

「ストレージ」で、

f:id:ts0818:20181223104717p:plain

一応、追加。

f:id:ts0818:20181223104847p:plain

「システム」の「起動順序」は、『光学』が『ハードディスク』の上に来てるから良いのかしら?

f:id:ts0818:20181223104953p:plain

で、もう一回、起動してみる。

f:id:ts0818:20181223105256p:plain

f:id:ts0818:20181223105136p:plain

時間がかかりますが、

f:id:ts0818:20181223105230p:plain

起動できました。

f:id:ts0818:20181223105618p:plain

ちなみに、「Guest Additions CDイメージの挿入...」でエラーになっていたのは、

d.hatena.ne.jp

⇧  上記サイト様の説明にあるように、既に、イメージがインストールされていたからのようです。

イメージ自体はインストールされているにもかかわらず、マウントができていないという状態のようでした。なので、f:id:ts0818:20181223115425p:plain から、「Mount VBOXADDITIONS_~」を選択。

f:id:ts0818:20181223110055p:plain

デスクトップに表示された、「VBOXADDITIONS_~」のアイコンを右クリックし、「Open in Terminal」をクリック。

f:id:ts0818:20181223112207p:plain

autorun.sh コマンドを実行します。

sudo /media/[ユーザー名]/[Guest Additionsのコマンド郡を格納してるディレクトリ]/autorun.sh    

f:id:ts0818:20181223114734p:plain

「yes」で。

f:id:ts0818:20181223114543p:plain

「Enter」キーで、ターミナルを終了します。

f:id:ts0818:20181223114657p:plain

「入力」>「マウス統合」で。 

f:id:ts0818:20181223120533p:plain

クリップボードの共有」「ドラッグ&ドロップ」などの設定を、双方向にしています。

f:id:ts0818:20181223120622p:plain

f:id:ts0818:20181223120651p:plain
これで「Guest Additions」も機能するようになりました。

ちなみに、

ja.avtokyo.org

⇧  AVTOKYO2018というイベントで配布されたUSBで、Tsurugi Linuxを構築すると、nmap -v で、クリスマスメッセージが表示されるらしいんですが、

f:id:ts0818:20181223124317p:plain

⇧  通常のイメージファイルから作成した場合は、メッセージは無しです...クリぼっち! 

そして、相変わらず、シャットダウンでエラーっぽい挙動...

f:id:ts0818:20181223134800p:plain

致し方ないので、Virtual Box マネージャー側で、電源OFFりました...

f:id:ts0818:20181223134910p:plain

 

2018年12月23日(日)追記:↑ ここまで

 

今回はこのへんで。