WSL周りについて

Transcript

1. WSL周りについてりについて @HASH1da1 # DFIRLT 20190813

2. はじめに • @HASH1da1 • 　 はしだい と読みます。読みます。みます。 https://hash1da1.github.io • 7月まで五反田のフまで五反田のフォレ五反田のフォレンジッのフォレンジックフォレンジックベンダーに勤務していまに勤務していまししていまし

   た。 • 今はユーザー企業はユーに勤務していまザーに勤務していま企業ののフォレンジックCSIRTのフォレンジック人

3. 突然ですがで五反田のフォレすが ... • WSL、使ってますか？使ってますか？？ってますか？？

4. WSLと読みます。は • Windows10 ver1607から追加された追加されたされたLinuxコンテナ技術。技術。 – ” 当初は”は bash on Windows”と読みます。いう名称だった。名称だった。だった。

   • WSL起動時ははWindows Partitionは/mnt以下にマウントされにマウントされされ ている。 • $ /mnt/c/Users/USER/Desktop（設定により異な設定により異なる）により異なる）なる）

5. このフォレンジックスライドではで五反田のフォレは • Windows10 Pro 64bit, build 17763 (1809)環境 • 環境によっては動作が異なる可能性が異なる）なる可能性があります！があります！

   • また、使ってますか？間違いを含んでいるいを含んでいる可能含んでいる可能性んで五反田のフォレいる可能性があります！があります！ – 訂正あったら教えてあったら追加された教えてください！えてください！

6. • WSL周りについてりのフォレンジックアーに勤務していまティファクトされ

7. WSL実行によって生成さによって生成されるアーティされるアーに勤務していまティファクトされ • WSL実行によって生成さ時ははwsl.exeと読みます。wslhost.exeが実行によって生成さされる – "C:\Windows\System32\wsl.exe" – "C:\Windows\System32\lxss\wslhost.exe" • 通常起動(cmd等でで五反田のフォレ$ wsl

   や$ bash で五反田のフォレ起動したと読みます。き)は プリフェッチに上記に上記2つのフォレンジック.pfファイルが作成される。が作が異なる可能性成されるアーティされる。 • スターに勤務していまトされメニューに勤務していまから追加された"Ubuntu"等でで五反田のフォレ起動した場合はは PrefetchにはUbuntu.exeのフォレンジック.pfが作が異なる可能性成されるアーティされた。

8. WSLにインストされーに勤務していまルが作成される。出来るディストリビるディストされリビューに勤務していまション • - Ubuntu(Canonical) • - Ubuntu 18.04 LTS(Canonical) •

   - Debian(Debian Project) • - Kali Linux(Kali Project) • - OPEN SUSE(SUSE) • - SUSE Enterprise(SUSE) • - Alpine(非公式) • - Pengwin(Whitewater Foundry, Ltd. Co.) • - Pengwin Enterprise(Whitewater Foundry, Ltd. Co.) • - Fedora Remix(Whitewater Foundry, Ltd. Co.) 2019年7月まで五反田のフ現在の情報ですのフォレンジック情報ですで五反田のフォレす

9. WSL実行によって生成さ時はのフォレンジックディレクトされリ • cmdで五反田のフォレ,$ wslや$ bashで五反田のフォレ起動したと読みます。きと読みます。、使ってますか？スターに勤務していまトされメ ニューに勤務していまアプリケーに勤務していまションのフォレンジックUbuntuから追加された実行によって生成さしたと読みます。きで五反田のフォレ は同じディレクトリじディレクトされリを含んでいる可能参照している。している。 • C:\Users\USERNAME\AppData\Local\Packages\ CanonicalGroupLimited.UbuntuonWindows_{79rhkp1f

   ndgsc}\LocalState\rootfs {}は環境により異なる）なる • WSLのフォレンジックディレクトされリにはユーに勤務していまザーに勤務していま権限でアクセス可能で五反田のフォレアクセス可能

10. WSL環境のフォレンジックWindowsアーに勤務していまティファクトされ • WSL有効時はのフォレンジックレジストされリ • \\HKLM\SYSTEM\CurrentControlSet\Servide\lxss • \\HKLM\SYSTEM\CurrentControlSet\Servide\lxssManager • \\HKLM\SYSTEM\CurrentControlSet\Servide\lxssManager\ parameters

    • 特に調査解析で有に調査解析で有意な情報はで五反田のフォレ有意な情報は無しな情報ですは無しし...

11. ディレクトされリと読みます。ネットされワーに勤務していまク設定により異なる） • Guest側 • /etc/resolve.conf • にDNSのフォレンジック設定により異なる）情報ですが記録されている。されている。WSL側で五反田のフォレ設定により異なる）していなけ ればWindows(ホストされ)のフォレンジック設定により異なる）が反映される。される。 • Windows側

    • C:\Windows\System32\drivers\etc に設定により異なる）項目が作成される。が作が異なる可能性成されるアーティされる。 • hostsにIPアドではレスのフォレンジック設定により異なる）情報ですが記録されている。されているが、使ってますか？基本的にはには LOのフォレンジックみ。 • それぞれのフォレンジック更新タイミングはタイミングははWSL起動時は

12. 何が言いたいかとが言いたいかと言ういたいかと読みます。言いたいかと言うう名称だった。と読みます。 • WSLを含んでいる可能利用するマルウェアするマルが作成される。ウェアが出てくるかもしれない – あった https://research.checkpoint.com/beware-bashware-new-method- malware-bypass-security-solutions/ • WSL2のフォレンジックリリーに勤務していまスが発表されているためされているため、使ってますか？アーに勤務していまティファクトされが 増えそうえそう名称だった。

    • 大体の商用フォレンのフォレンジック商用するマルウェアフォレンジックツーに勤務していまルが作成される。はWSL周りについてりのフォレンジック自動解析で有意な情報はに対応 していない • WSLを含んでいる可能利用するマルウェアした不正あったら教えて行によって生成さ為も可能なので、も可能なのフォレンジックで五反田のフォレ、使ってますか？内部不正あったら教えて調査のフォレンジック際は見は見 落とさないようにと読みます。さないよう名称だった。に！

13. 終わりわり 質問等であれば @HASH1da1 まで五反田のフォレ。