SANSからの練習問題を試す プロセスの確認 (4)
そろそろ次の項目へ行こうかとも思ったのですが、良く見る、という原則を守るべくRedLineのProcesses項目をよく確認すると、Start Time すなわちタイムラインを確認していないことに気が付きました。*1
メモリイメージ内のプロセスが、何時開始されたのか?を示す時間という事になるかと思います。
今回のAPT.IMGのプロセス一覧をStart Timeでソートしてみます。
2009年4月16日にシステムが起動したことがこのタイムラインから読む事ができます。そして、5月5日に何かが発生したと推測できます。
PID 796 のiexplore.exeは、SYSTEMという高い権限で実行されており、注目しなければいけないプロセスである事が判明しています。
このiexplore.exeが何かしらの悪意ある行為に関連しているとして、気になるのはその前に実行されているPID 840 cmd.exeの開始時刻です。
cmd.exeは15:56:24に開始されていますが、数時間後の19:28:28にiexplore.exeが実行され、直後に MIRAgent.exe が実行されている事が読み取れます。
すでにcmd.exeのプロセスについては、昨日の段階でコマンド履歴などを確認し、MIRAgent.exeを実行している履歴を確認しているのですが、MIRAgentを起動するのに利用したcmd.exe自体は、数時間以上前に起動されていたという事になります。
これはどう読み解けば良いのでしょうか?cmd.exeを起動し、いつでもMIRAgent.exeを実行できるように準備しておき、数時間経過して何かしらの事象をきっかけにMIRAgent.exeを実行したと考えるべきでしょうか?MIRAgentプログラムの機能を把握してないので、ここの経緯は推測が難しい部分ですね。
検証(デモ?)環境のようですので、意図的にこのシチュエーションを作成する為にやっていた作業に伴う差異でしょうかね。
RedLineのTimelineで一部を切り出すと以下のようになりますが、このcmd.exeに関連した新たな発見はできないようです。
補足になりますが、RedLineもVolatilityも出力する時刻情報はUTCで出力する仕様のようです。RedLineではタイムゾーン値がZとなっておりよく分からない表記なのですが、例えばVolatilityのpslistの出力結果ではタイムゾーン値も含めて出力してくれており、UTCである事が確認できます。(2/27追記、FB のほうでZulu TimeでのGMT表記と教えていただきました。ありがとうございます!!)
Offset(V) Name PID PPID Thds Hnds Sess Wow64 Start Exit
---------- -------------------- ------ ------ ------ -------- ------ ------ ------------------------------ ------------------------------
0x823c8830 System 4 0 55 254 ------ 0
0x8230aad8 smss.exe 564 4 3 19 ------ 0 2009-04-16 16:10:01 UTC+0000
0x822ca2c0 csrss.exe 636 564 10 356 0 0 2009-04-16 16:10:06 UTC+0000
0x81f63020 winlogon.exe 660 564 16 502 0 0 2009-04-16 16:10:06 UTC+0000
0x81f22020 services.exe 704 660 15 254 0 0 2009-04-16 16:10:06 UTC+0000
0x82164da0 lsass.exe 716 660 21 342 0 0 2009-04-16 16:10:06 UTC+0000
0x822cb458 vmacthlp.exe 872 704 1 25 0 0 2009-04-16 16:10:07 UTC+0000
0x81e54da0 svchost.exe 884 704 17 208 0 0 2009-04-16 16:10:07 UTC+0000
0x81da4590 svchost.exe 968 704 10 241 0 0 2009-04-16 16:10:07 UTC+0000
0x81f739b0 svchost.exe 1088 704 70 1445 0 0 2009-04-16 16:10:07 UTC+0000
0x8232c020 svchost.exe 1140 704 5 60 0 0 2009-04-16 16:10:08 UTC+0000
0x81e91da0 svchost.exe 1212 704 14 208 0 0 2009-04-16 16:10:09 UTC+0000
0x8219b630 spoolsv.exe 1512 704 10 129 0 0 2009-04-16 16:10:10 UTC+0000
0x81da71a8 explorer.exe 1672 1624 15 586 0 0 2009-04-16 16:10:10 UTC+0000
0x81f1c7e8 VMwareTray.exe 1984 1672 1 37 0 0 2009-04-16 16:10:11 UTC+0000
0x81dc1a78 VMwareUser.exe 2004 1672 8 228 0 0 2009-04-16 16:10:11 UTC+0000
0x81f1a650 ctfmon.exe 2020 1672 1 71 0 0 2009-04-16 16:10:11 UTC+0000
0x81dc2570 VMwareService.e 1032 704 3 175 0 0 2009-04-16 16:10:16 UTC+0000
0x81d33628 alg.exe 464 704 6 105 0 0 2009-04-16 16:10:21 UTC+0000
0x81f96220 wscntfy.exe 1260 1088 1 39 0 0 2009-04-16 16:10:22 UTC+0000
0x8231eda0 msiexec.exe 1464 704 6 294 0 0 2009-04-16 16:11:02 UTC+0000
0x81e4d648 cmd.exe 840 1672 1 33 0 0 2009-05-05 15:56:24 UTC+0000
0x81dbdda0 iexplore.exe 796 884 8 152 0 0 2009-05-05 19:28:28 UTC+0000
0x82161558 MIRAgent.exe 456 840 1 77 0 0 2009-05-05 19:28:40 UTC+0000
*1:RedLineにはTimelineという専用の項目も別途あります
