Upgrade to Pro — share decks privately, control downloads, hide ads and more …

フォレンジックアーティファクト収集ツール / Forensic Artifacts Colle...

soji256
November 04, 2019

フォレンジックアーティファクト収集ツール / Forensic Artifacts Collecting Tools

2019年 TMCIT × 大和セキュリティ MAIR忍者チャレンジ (11月3-4日) LT資料

soji256

November 04, 2019
Tweet

More Decks by soji256

Other Decks in Technology

Transcript

  1. 1 About Me • 名前 soji256 (そーじ/そうじ) • お仕事など •

    セキュリティの世界に関わったのは 2016 年の後半から • 以前は主にシステム開発に関わる業務に従事していました • マルウェア解析も楽しいです • 楽しんだもの • 2017年 11月 Hardening 2017 Fes • 2018年 3月 SANS FOR 508 • 2018年 10月 TMCIT × 大和セキュリティ DFIR 忍者チャレンジ • 2019年 3月 Black Hat Asia 2019 • 2019年 11月 TMCIT × 大和セキュリティ MAIR 忍者チャレンジ (now) @soji256
  2. 5 フォレンジックアーティファクト収集ツールの比較表 # Tool Name $MFT $UsnJrnl $LogFile Evtx Registry

    Prefetch Browser History Memory Dump 1 CDIR Collector OK OK - OK OK (+.log) OK IE/Edge, Chrome, Firefox OK 2 CyLR OK OK OK OK OK (+.log) OK IE/Edge, Chrome, Firefox - 3 Live Response Collection OK OK OK OK OK OK IE/Edge, Chrome, Firefox OK 出典: 「インシデントレスポンス初動対応時のデータ収集ツール – setodaNote」
  3. 8

  4. 9 いま発表に使っているPCを対象に検証しました • OS: Windows 10 Pro • CPU: i5-5200U

    • Memory: 4GB • 記憶装置: SSD USBメモリを 使って ツールを実行 ※古いUSBメモリなので USB3.0 未対応です。
  5. 11 検証項目 • データ取得に要した時間 (USBメモリ上で実行) • データ取得の合計サイズ • 取得データ詳細: $UsnJrn

    • 取得データ詳細: レジストリ • 取得データ詳細: Prefetch • 取得データ詳細: Web Browser • 以下は特に興味深い差異がなかったため結果紹介は省略 • 取得データ詳細: $MFT • 取得データ詳細: $LogFile • 取得データ詳細: Windows イベントログ ※この検証では、環境初期化等 は行わずに、以下の順でツール を実行しています。 CDIR-C ↓ CyLR ↓ Live Response Collection
  6. 12 データ取得に要した時間 (USBメモリ上で実行) • CDIR-C • クリックするだけで管理者権限で実行される • 処理画面は処理完了後に Enter

    を押下するまで残る • CyLR • 明示的に管理者権限で実行する必要がある • 処理画面は処理完了後に自動で閉じる • Live Response Collection (Triage mode) • クリックするだけで管理者権限で実行される • 処理画面は処理完了後に Enter を押下するまで残る 5分で完了 5~10分で完了 10~20分で完了
  7. 13 データ取得の合計サイズ • CDIR-C • ファイル数: 485、フォルダー数: 10 • CyLR

    • ファイル数: 996、フォルダー数: 227 • Live Response Collection • ファイル数: 508、フォルダー数: 41 1.07 GB 3.46 GB ( zip展開前: 368 MB ) 1.15 GB
  8. 14 取得データ詳細: $UsnJrn • CDIR-C • 格納パス: ¥NTFS¥C_$UsnJrnl-$J • 取得サイズ:

    38.4 MB (40,367,936 バイト) • CyLR • 格納パス: ¥C¥$Extend¥$UsnJrnl$J • 取得サイズ: 1.70 GB (1,827,424,904 バイト) • Live Response Collection • 格納パス: ¥LiveResponseData¥CopiedFiles¥usnjrnl¥$UsnJrnl_$J.bin • 取得サイズ: 38.7 MB (40,678,616 バイト) 際立って ファイルサイズ が大きい
  9. 15 取得データ詳細: USN Analytics でパース • CDIR-C • データ件数: 333178

    records found • 処理時間: Processed Time: 13(s) • CyLR • データ件数: 335417 records found • 処理時間: Processed Time: 730(s) • Live Response Collection • データ件数: 335685 records found • 処理時間: Processed Time: 6(s) ※USN Analytics | Forensicist (https://www.kazamiya.net/usn_analytics) ※データ件数に若干差異があるのはツールを実行した順番が影響していると考えられるので差異なしとしています。 格納データには 差異なし
  10. 16 取得データ詳細: レジストリ • CDIR-C • 1つのフォルダにすべて格納される • .LOG ファイルも取得される

    • CyLR • 1つのフォルダにすべて格納されない ※ディレクトリ構造を維持する仕様のため • .LOG ファイルも取得される • Live Response Collection • 1つのフォルダにすべて格納される • .LOG ファイルは取得されない 図:CDIR で取得した結果
  11. 17 取得データ詳細: Prefetch • CDIR-C • 格納パス: ¥Prefetch • 取得ファイル数:

    264個 • タイムスタンプ: オリジナルのファイルタイムスタンプ情報を保持する • CyLR • 格納パス: ¥C¥WINDOWS¥Prefetch • 取得ファイル数: 271個 • タイムスタンプ: オリジナルのファイルタイムスタンプ情報を保持する • Live Response Collection • 格納パス: ¥LiveResponseData¥CopiedFiles¥prefetch • 取得ファイル数: 283個 • タイムスタンプ: オリジナルのファイルタイムスタンプ情報を保持しない
  12. 19 取得データ詳細: Web Browser • CDIR-C • Chrome: history ファイルのみ

    • Firefox: cookies, history • IE/Edge: WebCache フォルダ配下すべてを取得 • CyLR • Chrome: history ファイルのみ • Firefox: プロファイルフォルダ配下すべてを取得 • IE/Edge: WebCache フォルダ配下すべてを取得 • Live Response Collection • Chrome: cache, cookies, history • Firefox: cache, cookies, history, download • IE/Edge: 取得フォルダが空 ( WebCache が取得できなかった) ※Live Response Collection について、ログによると権限エラーによりファイルが取得できていないようでした。 管理者権限で実行してはいたのですが、何度か試してもうまく取得できませんでした。
  13. 22 比較結果: サマリ • CDIR-C • 主要なデータは取得できており、メモリダンプの取得も可能(ロスレスな圧縮形式) • 動作が軽く、実行時にも最低限の選択肢しかなく、人に依存しない均一な操作が期待できる •

    データの格納パスが浅く把握しやすいなど、全体的に扱いやすい印象 • CyLR • 網羅的にデータを取得できるが、メモリダンプの取得は非対応 • 明示的に管理者権限で実行する必要があるため、複数人が作業した場合に不安がある • ディレクトリ構造を維持してファイル取得している点は用途によってメリデメが分かれる印象 • Live Response Collection (Triage mode) • .LOG が含まれない、prefetch のタイムスタンプを保持しないなど気になる点がある • 動作が比較的重い。またいくつかのファイル取得に失敗するなど動作に不安な面がある • 環境調査のためにいくつかのコマンド実行をしており、保全の観点で不安がある
  14. 23 大事なこと • Windows を前提としたが、対象が Linux や Mac だと結果は当然変わり得る •

    収集端末台数を1台としたが、複数(数十台)になると使い勝手は変わり得る • ネットワーク越しに取得するという方法については未検証 • オプション利用やコンフィグの調整といったカスタマイズについても未検証 • どんな後続作業を想定するかによってツールの評価・向き不向きは変わり得る 目的や状況に応じてツールを選ぶことが肝要