0 フォレンジックアーティファクト収集ツール MAIR忍者チャレンジLT資料 - 2019/11/4

1 About Me • 名前 soji256 （そーじ／そうじ） • お仕事など • セキュリティの世界に関わったのは 2016 年の後半から • 以前は主にシステム開発に関わる業務に従事していました • マルウェア解析も楽しいです • 楽しんだもの • 2017年 11月 Hardening 2017 Fes • 2018年 3月 SANS FOR 508 • 2018年 10月 TMCIT × 大和セキュリティ DFIR 忍者チャレンジ • 2019年 3月 Black Hat Asia 2019 • ２０１９年 11月 TMCIT × 大和セキュリティ MAIR 忍者チャレンジ （now） @soji256

2 ここから本題

3 フォレンジックアーティファクト収集ツール • フォレンジックにとって特に重要なデータを自動収集するツールのこと • “Forensic Artifacts Collecting Tool” などと呼ばれる • ファストフォレンジックの向けのツール

4 たくさんあったので 調べてみました

5 フォレンジックアーティファクト収集ツールの比較表 # Tool Name $MFT $UsnJrnl $LogFile Evtx Registry Prefetch Browser History Memory Dump 1 CDIR Collector OK OK - OK OK (+.log) OK IE/Edge, Chrome, Firefox OK 2 CyLR OK OK OK OK OK (+.log) OK IE/Edge, Chrome, Firefox - 3 Live Response Collection OK OK OK OK OK OK IE/Edge, Chrome, Firefox OK 出典： 「インシデントレスポンス初動対応時のデータ収集ツール – setodaNote」

6 完璧？ いいえ、足りてません。 → 実は星取表に表しきれない 差異がいろいろありました。

7 より具体的に 比較してみました

8

9 いま発表に使っているPCを対象に検証しました • OS: Windows 10 Pro • CPU: i5-5200U • Memory: 4GB • 記憶装置： SSD USBメモリを 使って ツールを実行 ※古いUSBメモリなので USB3.0 未対応です。

10 検証

11 検証項目 • データ取得に要した時間 （USBメモリ上で実行） • データ取得の合計サイズ • 取得データ詳細： $UsnJrn • 取得データ詳細： レジストリ • 取得データ詳細： Prefetch • 取得データ詳細： Web Browser • 以下は特に興味深い差異がなかったため結果紹介は省略 • 取得データ詳細： $MFT • 取得データ詳細： $LogFile • 取得データ詳細： Windows イベントログ ※この検証では、環境初期化等 は行わずに、以下の順でツール を実行しています。 CDIR-C ↓ CyLR ↓ Live Response Collection

12 データ取得に要した時間 （USBメモリ上で実行） • CDIR-C • クリックするだけで管理者権限で実行される • 処理画面は処理完了後に Enter を押下するまで残る • CyLR • 明示的に管理者権限で実行する必要がある • 処理画面は処理完了後に自動で閉じる • Live Response Collection (Triage mode) • クリックするだけで管理者権限で実行される • 処理画面は処理完了後に Enter を押下するまで残る 5分で完了 5～10分で完了 10～20分で完了

13 データ取得の合計サイズ • CDIR-C • ファイル数: 485、フォルダー数: 10 • CyLR • ファイル数: 996、フォルダー数: 227 • Live Response Collection • ファイル数: 508、フォルダー数: 41 1.07 GB 3.46 GB （ zip展開前： 368 MB ） 1.15 GB

14 取得データ詳細： $UsnJrn • CDIR-C • 格納パス： ¥NTFS¥C_$UsnJrnl-$J • 取得サイズ： 38.4 MB (40,367,936 バイト) • CyLR • 格納パス： ¥C¥$Extend¥$UsnJrnl$J • 取得サイズ： 1.70 GB (1,827,424,904 バイト) • Live Response Collection • 格納パス： ¥LiveResponseData¥CopiedFiles¥usnjrnl¥$UsnJrnl_$J.bin • 取得サイズ： 38.7 MB (40,678,616 バイト) 際立って ファイルサイズ が大きい

15 取得データ詳細： USN Analytics でパース • CDIR-C • データ件数： 333178 records found • 処理時間： Processed Time: 13(s) • CyLR • データ件数： 335417 records found • 処理時間： Processed Time: 730(s) • Live Response Collection • データ件数： 335685 records found • 処理時間： Processed Time: 6(s) ※USN Analytics | Forensicist (https://www.kazamiya.net/usn_analytics) ※データ件数に若干差異があるのはツールを実行した順番が影響していると考えられるので差異なしとしています。 格納データには 差異なし

16 取得データ詳細： レジストリ • CDIR-C • 1つのフォルダにすべて格納される • .LOG ファイルも取得される • CyLR • 1つのフォルダにすべて格納されない ※ディレクトリ構造を維持する仕様のため • .LOG ファイルも取得される • Live Response Collection • 1つのフォルダにすべて格納される • .LOG ファイルは取得されない 図：CDIR で取得した結果

17 取得データ詳細： Prefetch • CDIR-C • 格納パス： ¥Prefetch • 取得ファイル数： 264個 • タイムスタンプ： オリジナルのファイルタイムスタンプ情報を保持する • CyLR • 格納パス： ¥C¥WINDOWS¥Prefetch • 取得ファイル数： 271個 • タイムスタンプ： オリジナルのファイルタイムスタンプ情報を保持する • Live Response Collection • 格納パス： ¥LiveResponseData¥CopiedFiles¥prefetch • 取得ファイル数： 283個 • タイムスタンプ： オリジナルのファイルタイムスタンプ情報を保持しない

18 取得データ詳細： Prefetch CDIR-C CyLR Live Response Collection

19 取得データ詳細： Web Browser • CDIR-C • Chrome： history ファイルのみ • Firefox: cookies, history • IE/Edge： WebCache フォルダ配下すべてを取得 • CyLR • Chrome： history ファイルのみ • Firefox: プロファイルフォルダ配下すべてを取得 • IE/Edge： WebCache フォルダ配下すべてを取得 • Live Response Collection • Chrome： cache, cookies, history • Firefox: cache, cookies, history, download • IE/Edge： 取得フォルダが空 （ WebCache が取得できなかった） ※Live Response Collection について、ログによると権限エラーによりファイルが取得できていないようでした。 管理者権限で実行してはいたのですが、何度か試してもうまく取得できませんでした。

20 まとめ

21 比較結果： 感想 • CDIR-C •一番簡単に使えて良さそう • CyLR •同じくらい良さそう • Live Response Collection •ちょっと心配

22 比較結果： サマリ • CDIR-C • 主要なデータは取得できており、メモリダンプの取得も可能（ロスレスな圧縮形式） • 動作が軽く、実行時にも最低限の選択肢しかなく、人に依存しない均一な操作が期待できる • データの格納パスが浅く把握しやすいなど、全体的に扱いやすい印象 • CyLR • 網羅的にデータを取得できるが、メモリダンプの取得は非対応 • 明示的に管理者権限で実行する必要があるため、複数人が作業した場合に不安がある • ディレクトリ構造を維持してファイル取得している点は用途によってメリデメが分かれる印象 • Live Response Collection (Triage mode) • .LOG が含まれない、prefetch のタイムスタンプを保持しないなど気になる点がある • 動作が比較的重い。またいくつかのファイル取得に失敗するなど動作に不安な面がある • 環境調査のためにいくつかのコマンド実行をしており、保全の観点で不安がある

23 大事なこと • Windows を前提としたが、対象が Linux や Mac だと結果は当然変わり得る • 収集端末台数を1台としたが、複数（数十台）になると使い勝手は変わり得る • ネットワーク越しに取得するという方法については未検証 • オプション利用やコンフィグの調整といったカスタマイズについても未検証 • どんな後続作業を想定するかによってツールの評価・向き不向きは変わり得る 目的や状況に応じてツールを選ぶことが肝要

24 Thank you!