DFIR や Malware 解析などについての記事まとめ（2019年4月～9月）

2023-01-10

2019年4月～9月のツイートからまとめています。

DFIR関連

侵害有無を簡易に調査する Linux コマンド15選

保全との兼ね合いはあるけれど、侵害を受けたかもしれない Linux マシンを調べるときの参考になりそう。

A quick set of anomalies to look for to identify a compromised Linux system
~~https://www.linkedin.com/pulse/quick-set-anomalies-look-identify-compromised-linux-system-b-/~~

DNS 通信から悪性な通信を見つける調査観点

こういう挙動は一般的でないから要注意といった経験に基づく観点が具体的に書かれていました。

Threat hunting using DNS firewalls and data enrichment | blog.redteam.pl
https://blog.redteam.pl/2019/08/threat-hunting-dns-firewall.html

AmCache に関する ANSSI の報告書

AmCache は挙動の仕様変更が多く解析時に考慮が必要な点がいくつかあるけれど exe の実行痕跡に関してフォレンジックに有用な情報が多くあるからもっと見てこという ANSSI の報告書。

AmCache Analysis | Agence nationale de la sécurité des systèmes d'information
https://www.ssi.gouv.fr/en/publication/amcache-analysis/

NTFS Journal Forensics

Windows Forensics シリーズの新エピソードが公開されていました。 $MFT、$UsnJrnl、$LogFile の違いについてや Triforce ANJP というツールを使った解析方法を学習する内容。ぱっと見た感じ面白そう！

NTFS Journal Forensics - YouTube
https://www.youtube.com/watch?v=1mwiShxREm8

プログラムを実行したからといって、それを"利用したかどうか"は別問題

アーティファクトが意味することを正確に理解し、適切な検証が必要だよねと。

Windows Incident Response: Program Execution...Or Not
http://windowsir.blogspot.com/2019/08/program-executionor-not.html

Volatility：Windows 10 のメモリ圧縮への対応

FireEye が、Volatility などで Windows 10 のメモリを解析した際にメモリ圧縮が原因で発生していたデータ欠損について、解消する方法を紹介しています。

Finding Evil in Windows 10 Compressed Memory, Part One: Volatility and Rekall Tools | FireEye Inc
https://www.fireeye.com/blog/threat-research/2019/07/finding-evil-in-windows-ten-compressed-memory-part-one.html

メールに含まれる一見それと気づかないタイムスタンプの見つけ方

出会う可能性のあるタイムスタンプ一覧も合わせて紹介されていました。

Dates in Hiding—Uncovering Timestamps in Forensic Email Examination
https://www.metaspike.com/timestamps-forensic-email-examination/

イベントログのタイムスタンプについて

Windows の標準機能でイベントログをエクスポートするとレコードヘッダとレコードコンテンツがずれて紐づくので、ヘッダではなくコンテンツのタイムスタンプを確認しようねという話。

Export corrupts Windows Event Log files – Fox-IT International blog
https://blog.fox-it.com/2019/06/04/export-corrupts-windows-event-log-files/

KAPEを使ってタイムラインを作成するチュートリアル

SANSの記事。短めで図が多いので初学者でも楽しくできそうな感じです。

SANS Digital Forensics and Incident Response Blog | Triage Collection and Timeline Generation with KAPE | SANS Institute
~~https://digital-forensics.sans.org/blog/2019/08/22/triage-collection-and-timeline-generation-with-kape/~~

スレットハンティングに有用な検索クエリの一覧

Splunk, Qradar, Arcsight, Elasticsearch それぞれ用のクエリが綺麗にまとめられていました。

Sigma-to - Google スプレッドシート https://docs.google.com/spreadsheets/d/1mY6BGYZgwPH3UiVAdxU4Hraa9n1gFLXSMcR_5mhs0GE/edit#gid=2078972446

Sysmon の DNS クエリ周りのログについて

実際に動かして検証されている記事。まとめに Sysmon が何を見て DNS クエリを取得しているかについても触れられてました。

Sysmon 10.1の新機能：プロセスのDNSクエリーログをElasticsearchで採取してみる（動作確認編） - Qiita
https://qiita.com/rhpenguin/items/660f6e53ba7a49a1459c

WMI 関連の永続化情報 WMI Event Subscription の解析

"WMI Event Subscription" という WMI に絡む永続化情報を OBJECTS .DATA ファイルの解析で見つけるという記事。CDIR では取得対象のファイルとなっていました。

Using MITRE ATT&CK for Forensics: WMI Event Subscription (T1084) – Cyber Forensicator
~~https://cyberforensicator.com/2019/07/13/using-mitre-attck-for-forensics-wmi-event-subscription-t1084/~~

Windows10 のエラー報告ファイル（*.WER）の解析記事

クラッシュしたプロセスの SHA-1 が含まれている場合があるよという記事。不審なプロセスのクラッシュレポートがDFIRにさらに役立つねということのよう。

AmCache is not alone; Using .WER files to hunt evil
https://medium.com/dfir-dudes/amcache-is-not-alone-using-wer-files-to-hunt-evil-86bdfdb216d7

フォレンジックの解説動画

複数のアーティファクトの紐づけや、Win10 で登場／退場したアーティファクトの話などがされていて面白い。内容はすべて文字起こしされていて翻訳も楽。

Finding Insider Threats: Digging Deeper - 2019 - Webinars | ForensicFocus.com
https://forensicfocus.com/c/aid=321/webinars/2019/finding-insider-threats-digging-deeper/

とあるRATに感染したマシンのフォレンジック解析ブログ

解析の流れを追うように書かれていて面白い。

Following The RTM: Forensic Examination Of A Computer Infected With A Banking Trojan | Forensic Focus - Articles
https://articles.forensicfocus.com/2019/05/06/following-the-rtm-forensic-examination-of-a-computer-infected-with-a-banking-trojan/

MacOS から有用な情報を得るためのログや調査観点

インシデント調査で MacOS から有用な情報を得るためのログや調査観点を紹介している記事。sysdiagnose、unified logging、FSEvents について取り上げられていました。

macOS Incident Response | Part 1: Collecting Device, File & System Data
https://www.sentinelone.com/blog/macos-incident-response-part-1-collecting-device-file-system-data/

Apple Watch のフォレンジックメモ

データの取得方法やどんな情報が含まれているのか画像豊富に紹介されていました。眺めるだけでも面白い。

Apple Watch Forensics 02: Analysis | ElcomSoft blog
https://blog.elcomsoft.com/2019/06/apple-watch-forensics-02-analysis/

DFIRチーム向けのツールやリソースの一覧

証跡収集ツールにどんなものがあるのか調べていたときに見つけたのでそういったツール多め。

meirwah/awesome-incident-response: A curated list of tools for incident response
https://github.com/meirwah/awesome-incident-response

Malware解析関連

900 以上の Windows マルウェアファミリの調査

2003年～2018年における 900 以上の Windows マルウェアファミリのラベル付きサンプルを分析し、実装されていた手法を ATT&CK にマッピングした調査報告。

ATT&CK Techniques and Trends in Windows Malware | Kris Oosthoek
https://krisk.io/post/attack/

マルウェアのPDBパスについて

マルウェアについて「PDBパス」という切り口で得られる興味深い洞察についてまとめたレポート。合わせてこれを抽出するYaraルール「ConventionEngine」も公開しています。

Definitive Dossier of Devilish Debug Details – Part One: PDB Paths and Malware | FireEye Inc
https://www.fireeye.com/blog/threat-research/2019/08/definitive-dossier-of-devilish-debug-details-part-one-pdb-paths-malware.html

クリーンと思われるPDBパスのサンプル

FireEyeの記事に触発されてクリーンであろうPDBパスのサンプルを公開されている方の記事。面白いことにそのほとんどは C:\ 以外だったとのこと。サンプルは34万行ほど。ページ下部の "here" からダウンロードできます。

Hexacorn | Blog PDB Goodness
http://www.hexacorn.com/blog/2019/08/31/pdb-goodness/

無料講座：マルウェアのリバースエンジニアリングと脅威インテリジェンス

マルウェアのリバースエンジニアリングと脅威インテリジェンスという12週間に渡る無料講座。初心者向けとのこと。マルウェアのRC4による暗号化アルゴリズムの解説などが聞けるみたい。なお視聴するためには要登録。

Zero 2 Hero - SentinelOne
https://www.sentinelone.com/lp/zero2hero/

国判定VBAマクロの進化についての解析レポート

判定ロジック
- xlCountrySetting
- Format (0, "currency")
- GetLocaleInfo
Automated Malware Analysis: Malicious Documents: The Evolution of country-aware VBA Macros
http://blog.joesecurity.org/2019/03/malicious-documents-evolution-of.html

LockerGogaの内部構造を紐解く

いつもながら詳細でとても面白い。

LockerGogaの内部構造を紐解く | MBSD Blog
https://www.mbsd.jp/blog/20190827.html
直近のLockerGoga関連事件として記憶に新しい今年3月のノルウェーでの攻撃で使用されたといわれている検体にフォーカスを当て、感染の始まりから終了までその挙動の全体像を解説します。