8章Linuxでのユーザの挙動解析

　フォレンジック調査や事故対応では、被害者と攻撃者の両方のシステムから重要なデータを収集するために、ユーザの挙動の再構築が不可欠です。Linuxシステムは、攻撃者が活動するためのシステムとしても利用頻度が高いため、被害者のみならず攻撃者にとっても重要な役割を担っています。これは、多くの異なるネットワークスキャナや脆弱性スキャナ、Webアプリケーションの調査ツール、ポストエクスプロイトフレームワークの多くが、Linux向けに実装されているためです。よって、攻撃者が使用したシステムの調査により、攻撃に使用されたツールや手法に関する詳細な情報が得られます。さらに、ユーザの挙動の調査により、攻撃の準備段階、可能性のある関連会社、様々なフォーラムでの活動などに関する情報も得られます。

　この章の内容：

• 実行されたプログラムの調査
• Bashの履歴の解析
• 操作されたファイルの調査
• ファイルシステムの復元
• ブラウザの履歴の調査
• コミュニケーションアプリケーションの調査
• マウントされたデバイスの調査
• 暗号コンテナの調査

8.1　技術要件

　今回は、LinuxとWindowsの両方のシステムを使ってLinuxのメモリフォレンジックを実施します。本書ではVolatility 2.6.1とLinuxのビルトインツールはUbuntu 21.04（Hirsute Hippo）で実行し、Bulk ExtractorやPhotoRecなどのツールはWindowsで実行しています。

8.2　実行されたプログラムの調査

　Linuxシステム用のプロファイルの作成手順は前章で解説したので、プロファイルの作成が完了した前提で話を進めます。

　作成したプロファイルをprofiles ...