@port139 Blog

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

$LogFile (1)

NTFS には $LogFile があります。$LogFile を調べることで、ファイルシステム上で何か変化したかをより詳細に調べる事が可能です。 テストファイルの作成 Windows 10 環境上で VHD ディスクを作成し、USN ジャーナルを有効にします。 C:\Windows\system32>fs…

USN と range tracking

fsutil コマンドの「enablerangetracking」オプションを確認してみます。テスト環境は Windows 10 です。 この機能については、マイクロソフト社の下記URLで説明されています。 Tracking modified ranges of a file より引用 The NT File System (NTFS) team…

$JとUSN

NTFS USN Jornal の確認用として、新規にVHDディスクを作成し、NTFSでフォーマットします。下記図ではF:ドライブが新規に作成したNTFSボリュームになります。 fsutil コマンドを利用し、ジャーナルの状態を確認します。F:ドライブに USN ジャーナルは設定さ…

CCleaner と GB2312

Talosの記事には、マルウェアにより収集されたデータのスクリーンショットが掲載されています。 Cisco's Talos Intelligence Group Blog: CCleaner Command and Control Causes Concern より部分的に引用 In addition, the compromised machines would share…

Security Id と $Secure

Security IDと$Secureの関係について確認します。[注意事項]一部は不完全なパース結果となっています。 最初にサンプルファイル(crocodile.jpg)のアクセス権を確認します。 ファイル crocodile.jpg のSecurity IDを確認します。Security ID 値は $STANDARD…

SessionEnvとTSMSISrv.dll

CCleaner version 5.33.6162 に関して下記レポートが出ています。このレポートでは、Persistenceの仕組みとしてマルウェアがサービスを利用している事を説明しています。 Progress on CCleaner Investigation より引用The second part of the payload is res…

$ObjId と $O

Penguin.jpg の ObjectID を、$ObjId 内で確認します。 $ObjId は $Extend フォルダ配下にあります。 MFTレコード番号 25 を$MFT内で参照します。0x90 $INDEX_ROOTを確認できます。 0x00006500: 90 00 00 00 A8 00 00 00 00 02 18 00 00 00 02 00 ..........…

NTFS $OBJECT_ID と Removable

NTFS $OBJECT_ID (0x40) に関する基本情報は、Kazamiya さんが書かれている「ObjectID アーティファクト」を参考にしてください。 Windows 10環境上で、USBメモリ内のファイルを参照した場合に、ObjectIDが作成されるか確認します。 Windows 10 へ USB メモ…

$INDEX_ROOT と $I30

$I30のバイナリ構造を確認します。 Autopsyで Pirctures フォルダの File Metadata を確認します。「$INDEX_ROOT (144-1) Name: $I30」が Resident として存在している事を確認できます。 From The Sleuth Kit istat Tool: MFT Entry Header Values: Entry: …

WMIとsysmon v6.10

Sysmon v6.10 が 9/11 にリリースされ、WMI Filterとconsumersがモニタリング出来るようになったようです。 3つのイベントIDが追加されています、登録を検出するようですね。 Sysmon - Windows Sysinternals | Microsoft Docs より引用 Event ID 19: WmiEven…

NTFS $I30 と Deleted record

NTFS $I30 内に、削除レコードを作成してみます。 サンプル用にフォルダPicturesを作成します。 次に、削除レコードとして残したいファイルをPicutresフォルダへコピーします。ファイル名は、名前でソートした場合、最後に表示される名前にしておきます。 今…

C2とWeb Storage

「New Pacifier APT Components Point to Russian-Linked Turla Group」のレポート内には、Webブラウザのキャッシュを利用するマルウェアの話題が記載されています。 https://media.scmagazine.com/documents/314/bitdefender-whitepaper-pacifie_78483.pdf …

Rehashed RATとDLL Hijacking

Fortinet から DLL ハイジャックを利用する Rehashed RAT に関するレポートが出ています。 blog.fortinet.com 自動起動として Run キーを利用します。Runキーに登録されるファイルには、幾つかパターンがあるようです。Run キー内に Systemm.exe(50fcc5c822a…

KHRAT Malware と Fa??

8/31 に paloalto Unit 42 から下記レポートが出ています。 researchcenter.paloaltonetworks.com 自動起動の手口として、タスクスケジューラが利用されています。 オリジナルではタスクの登録名前が、「"f*** you" 」とかなり目立つ名前になっています。 タ…

Poison Ivy と MSIEXEC

8/23 に Fortinet から Poison Ivy に関する下記レポートが出ています。 blog.fortinet.com 自動起動の仕組みとしては、スタートアップに VBS ファイルを登録する方式になっています。登録された VBS ファイルはピンクハイライトになる為、Autoruns であれば…

ANDROM と自動起動(Regsvr32)

トレンドマイクロ社からのレポートが更新され、ファイルレス型の攻撃において、USB メモリ経由である事がアップデートとして報告されている。 blog.trendmicro.com 上記レポートでは、幾つかのマルウェアが登場しているが、自動起動について確認。 TROJ_ANDR…

Turla の自動起動手口

下記レポート『New Pacifier APT Components Point to Russian-Linked Turla Group』では、マルウェアを起動する為の自動起動の手口として 6 種類が報告されている。 幾つかは Windows XP を対象とした古い手法のようだが、自動起動を確認するツールとして、…

FAT32 と犬

ディレクトリエントリの痕跡からファイル復元 VHDディスク上に FAT32 でボリュームを作成。ボリュームサイズは 100MB。 JPEG画像ファイル(犬の画像)を FAT32 ボリューム上の Pictures フォルダに置きます。 FAT32ボリュームを「クイック」フォーマット。 …

9002 RAT と LNK

9002 RAT についての記事、persistence の仕組みとしては LNK ファイルを利用。 www.proofpoint.com スタートアップに UpdateCheck.lnk を作成、中身としては Powrshell を利用する仕組みとなっているようです。 プロパティを確認 バイナリを確認 スタートア…

APT28と HKCU\Environmentキー

FireEye社から APT 28に関するレポート「APT28 Targets Hospitality Sector, Presents Threat to Travelers」が出ており、下記で日本語に翻訳された関連記事も読めます。ただ、横展開に関する手法や Responder の仕組みについて扱われていますが、マルウェア…

Autopsy 4.4.1 タイムライン機能(4)

Web アクティビティ(Chrome) セキュリティキャンプ 2017の E4 トラック事前学習で作成した Chrome01_RAW.001 を Autopsy のタイムライン機能で確認。 実際に操作した内容は下記。 Googleで「セキュリティキャンプ」を検索 セキュリティキャンプのWebを参照…

Autopsy 4.4.1 タイムライン機能(3)

画像ファイルの EXIF 情報 タイムライン機能には、Exif 情報を利用する事もできる。インジェストモジュールとしては「Exif パーサ」を実行。 インジェストモジュールの実行結果は、「抽出されたコンテンツ」⇒「EXIFメタデータ」で確認ができる。テストデータ…

Autopsy 4.4.1 タイムライン機能(2)

コンテナファイルの扱い ZIP や RAR ファイルのコンテナ内に存在するファイルのタイムスタンプ情報のタイムラインでの取り扱いについて。 『埋め込みファイルの抽出ツール』モジュールを実行している場合、ZIP や RAR ファイルなどについては、下記図のよう…

Autopsy 4.4.1 タイムライン機能(1)

Autopsy のタイムライン機能 Timeline http://sleuthkit.org/autopsy/docs/user-docs/4.4.1/timeline_page.html サンプルのイメージファイルとしては、マイクロソフト社が提供している仮想マシンのイメージを利用しています。ブラウザの履歴なども確認してい…

Autopsy 4.4.1 埋め込み文書のキーワード検索

埋め込みオブジェクトが含まれる文書 Autopsy のキーワード検索において、文書内にオブジェクトが埋め込まれている場合にどの様な扱いになるかを確認。 サンプルデータとして、Word文書(DOCX形式)内に、動画ファイル(MOV)、JPEGファイル(2件のうち1件は…

Autopsy 4.4.1 疑わしいファイル機能

Autopsy 4.4.1 のベータ機能テスト Autopsy には事前に定義した「疑わしいファイル」を探すモジュールがあり、オプションメニューからルールセットの作成ができる。 Interesting Files Identifier Modulehttp://sleuthkit.org/autopsy/docs/user-docs/4.4.1/…

Autopsy 4.4.1 リリース

リリースノートを参照 バージョン 4.4.1 の変更点は下記に記載されています。幾つか新たな機能追加があります。https://github.com/sleuthkit/autopsy/releases/tag/autopsy-4.4.1 Beta version of new central repository feature has been added for corre…

Autopsy 4.4.0 におけるキーワード検索(Stem)

Autopsy のキーワード検索で、Stem を利用した検索が可能かを確認。 サンプルデータは Content-Encoding: windows-1252 として認識されているテキスト ファイル。また、サンプル文字列として、solr.PorterStemFilterFactory で例示されている文字列パターン…

Autopsy 4.4.0 におけるキーワード検索(二つのタブ)

Autopsy には「ストリング」と「インデクス化されたテキスト」と二つのタブが存在する。PDF や DOCX ファイルなどの場合、ストリングとインデックス化されたテキストではそれぞれ異なるテキストデータが表示される。 下記画像では、PDFファイルを処理した後…

Autopsy 4.4.0 におけるキーワード検索(Standard Tokenizer)

メールアドレスやドメイン名の区切り方 AutopsyのSolr用スキーマファイル schema.xml には、solr.StandardTokenizerFactory が定義されており、Apache Solr の Standard Tokenizer の動作については、下記ページを参照することで内容を確認できる。 https://…