SANSからの練習問題を試す Handleの確認 (1)
プロセスの確認も一通り終わりましたので、次のステップとしてSANS BlogのStage 2: Analyze Process DLLs and Handle ある内容を確認していきたいと思います。
まず、Redlineで不審なプロセスであるPID 796 iexplore.exeのHandlesを確認していきたいと思います。
Redlineでは全プロセスのHandlesを表示するのと、個別プロセスのHandlesを表示する事ができますが、とりあえずはPID 796 iexplore.exeをProcessesからダブルクリックして該当プロセスだけのHandlesを確認してみます。
ソートの順序としてはOccrenceを使います。
ここではこのプロセスに関連しているものに不審なものがないか?などを見ていくことになりますが、SANS Blogの解説によれば、\Device\irykmmwwを確認しています。
RedLineに戻り、このirykmmwwを検索してみますが、何故でしょうか?RedLine上ではこの情報をHandlesから確認することができません。
念の為、プロセスのHandlesではなく、Processes⇒Handlesで全プロセスのデータを表示してirykmmwwを検索してみますが、ヒットしません。
では、SANS Blogにあるように、Volatilityのhandlesプラグインを使ってPID 796の結果を確認してみます。
Offset(V) Pid Handle Access Type Details
---------- ------ ---------- ---------- ---------------- -------
0x821ace98 796 0xc 0x100020 File \Device\HarddiskVolume1\WINDOWS\system32
0x82189028 796 0x578 0x12019f File \Device\NamedPipe\ROUTER
0x822eff10 796 0x57c 0x1f0003 Event
0x81f229d0 796 0x580 0x100003 Semaphore
0x81f22a08 796 0x584 0x100003 Semaphore
0x81f30838 796 0x588 0x100003 Semaphore
0x822eae40 796 0x58c 0x100003 Semaphore
0xe1c29c90 796 0x590 0x20019 Key MACHINE\SYSTEM\CONTROLSET001\SERVICES\NETBT\PARAMETERS
0xe1117fb8 796 0x594 0x20019 Key MACHINE\SYSTEM\CONTROLSET001\SERVICES\NETBT\PARAMETERS\INTERFACES
0xe1c29c28 796 0x598 0x20019 Key MACHINE\SYSTEM\CONTROLSET001\SERVICES\TCPIP\PARAMETERS
0xe1e9f728 796 0x59c 0x20019 Key MACHINE\SYSTEM\CONTROLSET001\SERVICES\TCPIP\LINKAGE
0x821aaeb8 796 0x5a0 0x100003 Semaphore
0x822f7850 796 0x5a4 0x100003 Semaphore
0x81db29b0 796 0x5a8 0x1200a0 File \Device\Ip
0x81db2a48 796 0x5ac 0x100003 File \Device\Ip
0x81f0f7f0 796 0x5b0 0x1200a0 File \Device\Ip
0x81f0f888 796 0x5b4 0x120116 File \Device\Tcp
0x822f7890 796 0x5b8 0x1200a0 File \Device\Tcp
0x822ea0d0 796 0x5bc 0x12019f File \Device\NamedPipe\ROUTER
0x81e7b450 796 0x5c0 0x1f0003 Event
0x81df14a8 796 0x5c4 0x21f01ff File \Device\Afd\AsyncConnectHlp
0x81d25dd0 796 0x5c8 0x1f0003 Event
0x81dba560 796 0x5cc 0x21f0003 IoCompletion
0x81da8450 796 0x5d8 0x1f0003 Event
0x81fb6a98 796 0x5dc 0x1f0003 Event
0x81e5e238 796 0x5e0 0x1f0003 Event
0x81f1b180 796 0x5e4 0x1f0001 Mutant ZonesLockedCacheCounterMutex
0x81e5e180 796 0x5e8 0x1f0001 Mutant ZonesCacheCounterMutex
0x81dc0ea8 796 0x5ec 0x1f0001 Mutant ZoneAttributeCacheCounterMutex
0x81dc0ea8 796 0x5f0 0x1f0001 Mutant ZoneAttributeCacheCounterMutex
0xe1ead4a0 796 0x5f4 0xf0007 Section UrlZonesSM_SYSTEM
0xe1ea4020 796 0x5f8 0x20019 Key USER\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP
0xe1107870 796 0x5fc 0x20019 Key MACHINE\SOFTWARE
0xe1237c20 796 0x600 0x20019 Key USER\.DEFAULT\SOFTWARE
0xe1e0ab40 796 0x604 0x20019 Key USER\.DEFAULT\SOFTWARE\POLICIES
0xe1d81200 796 0x608 0x20019 Key MACHINE\SOFTWARE\POLICIES
0x81dbfea8 796 0x60c 0x1f0001 Mutant ZonesCounterMutex
0xe1e9f480 796 0x610 0x20019 Key USER\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\NETWORK\LOCATION AWARENESS
0xe1071628 796 0x614 0x20019 Key USER\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP
0xe1daf348 796 0x618 0x4 Section
0x8217ca80 796 0x61c 0x1f03ff Thread TID 1444 PID 796
0xe1d9c2c8 796 0x620 0x4 Section
0xe118d9e8 796 0x624 0x1f0001 Port
0xe1e0ea98 796 0x628 0xf003f Key MACHINE\SYSTEM\CONTROLSET001\HARDWARE PROFILES\0001
0xe10587a8 796 0x62c 0x1f0001 Port
0xe1b62040 796 0x630 0x4 Section SENS Information Cache
0x82158260 796 0x634 0x1f0003 Event
0xe1c2a020 796 0x644 0x20f003f Key USER
0x81fb2890 796 0x648 0x1f0003 Event userenv: User Profile setup event
0x8206ed98 796 0x654 0x1f0003 Event
0x82181968 796 0x658 0x1f03ff Thread TID 1940 PID 796
0x81f778a8 796 0x65c 0x1f0003 Event
0x81f38708 796 0x664 0x100003 Semaphore
0x81f75988 796 0x66c 0x1f0003 Event
0x81d30020 796 0x670 0x1f03ff Thread TID 684 PID 796
0x81ddb370 796 0x674 0x1f0003 IoCompletion
0x822dc938 796 0x678 0x1f0003 IoCompletion
0xe10fcf68 796 0x67c 0x1f0001 Port OLE426595E20868494A926C306C78DA
0x81ddb370 796 0x680 0x1f0003 IoCompletion
0x81e88b40 796 0x68c 0x1f0001 Mutant c:!windows!system32!config!systemprofile!cookies!
0xe122fd90 796 0x690 0xf0007 Section C:_WINDOWS_system32_config_systemprofile_Local Settings_Temporary Internet Files_Content.IE5_index.dat_32768
0x81f07b88 796 0x694 0x12019f File \Device\HarddiskVolume1\WINDOWS\system32\config\systemprofile\Local Settings\History\History.IE5\index.dat
0x81dca968 796 0x698 0x1f0001 Mutant c:!windows!system32!config!systemprofile!local settings!history!history.ie5!
0xe1118c78 796 0x69c 0x20019 Key MACHINE\SOFTWARE\MICROSOFT\TRACING\RASAPI32
0x81db7350 796 0x6a0 0x1f0001 Mutant c:!windows!system32!config!systemprofile!local settings!temporary internet files!content.ie5!
0x81dbb930 796 0x6a4 0x1f0003 Event
0x822f6da0 796 0x6a8 0x100003 Semaphore
0x81df0a80 796 0x6ac 0x100000 Mutant WininetStartupMutex
0x820708b8 796 0x6b0 0x1f0003 Event
0xe195d7a0 796 0x6b4 0xf0007 Section C:_WINDOWS_system32_config_systemprofile_Cookies_index.dat_16384
0xe1d3f0f0 796 0x6b8 0xf0007 Section C:_WINDOWS_system32_config_systemprofile_Local Settings_History_History.IE5_index.dat_32768
0x822f13f8 796 0x6bc 0x1f0001 Mutant
0x821645c0 796 0x6c0 0x100000 Mutant WininetProxyRegistryMutex
0x81dae4a0 796 0x6c4 0x1f0003 Timer
0x822f1818 796 0x6c8 0x21f0003 Event
0x81ddd068 796 0x6d0 0x1f0003 Event
0x81f1e610 796 0x6d4 0x1f0003 Event
0x81eaacc0 796 0x6d8 0x1f0003 Event
0x82184258 796 0x6dc 0x100003 Semaphore
0x81e55ac0 796 0x6e0 0x1f0003 Event
0x822e6da8 796 0x6e4 0x1f03ff Thread TID 204 PID 796
0x81dbb420 796 0x6e8 0x1f0003 IoCompletion
0x81f03b70 796 0x6ec 0x100020 File \Device\HarddiskVolume1\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83
0x822c47c8 796 0x6f0 0x100000 Mutant RasPbFile
0x822fe1d0 796 0x6f4 0x1f0003 Event DINPUTWINMM
0x81d30828 796 0x6f8 0x1f0001 Mutant
0x8223c608 796 0x6fc 0x100003 Semaphore
0xe15db460 796 0x700 0x20019 Key MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\DRIVERS32
0x8216eec8 796 0x704 0x100003 Semaphore
0x81d296e0 796 0x708 0x1f0003 Event
0x822deb40 796 0x70c 0x1f0003 Event
0x8215e688 796 0x710 0x100003 Semaphore
0x81dda7b8 796 0x714 0x1f0003 Event
0x82149c88 796 0x718 0x12019f File \Device\HarddiskVolume1\WINDOWS\system32\config\systemprofile\Cookies\index.dat
0x81f35df0 796 0x71c 0x1f0003 Event
0xe178f070 796 0x720 0x4 Section
0x81f19978 796 0x724 0x12019f File \Device\HarddiskVolume1\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
0xe157cd18 796 0x728 0x1f0001 Port
0x81f175a0 796 0x72c 0x1f0003 Semaphore shell.{210A4BA0-3AEA-1069-A2D9-08002B30309D}
0x821954a0 796 0x738 0x100000 Mutant _!MSFTHISTORY!_
0xe12ab200 796 0x73c 0x1f0001 Port
0xe11357f0 796 0x740 0x20019 Key MACHINE\SOFTWARE
0xe10847f0 796 0x744 0x20019 Key USER\.DEFAULT\SOFTWARE
0xe1dadd80 796 0x748 0x20019 Key USER\.DEFAULT\SOFTWARE\POLICIES
0xe15dc898 796 0x74c 0x20019 Key MACHINE\SOFTWARE\POLICIES
0x8216d988 796 0x750 0x37f WindowStation WinSta0
0x81eaccf8 796 0x754 0x201ff Desktop Default
0x822e9578 796 0x758 0x12019f File \Device\irykmmww
0x81f2a898 796 0x75c 0x21f0003 Event
0x81f9eac8 796 0x760 0x1f03ff Thread TID 1904 PID 796
0x8217ca80 796 0x764 0x1f03ff Thread TID 1444 PID 796
0x81f387f8 796 0x768 0x1f0003 Event
0x81dc5800 796 0x76c 0x1f0003 Event
0x8217ca80 796 0x770 0x1f03ff Thread TID 1444 PID 796
0xe1c5ade8 796 0x774 0xf003f Key MACHINE\SYSTEM\CONTROLSET001\SERVICES\WINSOCK2\PARAMETERS\NAMESPACE_CATALOG5
0x81e7d5b8 796 0x778 0x1f0003 Event
0xe111e2a8 796 0x77c 0xf003f Key MACHINE\SYSTEM\CONTROLSET001\SERVICES\WINSOCK2\PARAMETERS\PROTOCOL_CATALOG9
0x822ed538 796 0x780 0x1f0003 Event
0x81dd17a8 796 0x784 0x1f0003 Event
0x81d298c8 796 0x788 0x100020 File \Device\HarddiskVolume1\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83
0x82178de8 796 0x78c 0x100003 Event
0x82070c98 796 0x790 0xa84 WmiGuid
0x81f2a3b8 796 0x794 0x1f0003 Event
0x81fb7110 796 0x798 0x1f0003 Event
0x81dbdda0 796 0x79c 0x1f0fff Process iexplore.exe(796)
0x81e72220 796 0x7a0 0x1f0003 Event
0x81f224c0 796 0x7a4 0x12019f File \Device\WMIDataDevice
0x81d1cf48 796 0x7a8 0xa84 WmiGuid
0x822ef8a8 796 0x7ac 0x1f0003 Event
0x81dcc028 796 0x7b0 0x12019f File \Device\WMIDataDevice
0xe12f5830 796 0x7b4 0x2001f Key USER\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS
0xe1d06f10 796 0x7b8 0x20f003f Key USER\.DEFAULT
0xe1dadec0 796 0x7bc 0x20f003f Key MACHINE\SOFTWARE\CLASSES
0x81dd0338 796 0x7c0 0x100020 File \Device\HarddiskVolume1\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83
0x81ddb8a0 796 0x7c4 0x100020 File \Device\HarddiskVolume1\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83
0x81f59f90 796 0x7c8 0x100001 File \Device\KsecDD
0x81f5ae28 796 0x7cc 0x1f0003 Semaphore shell.{A48F1A32-A340-11D1-BC6B-00A0C90312E1}
0xe1741030 796 0x7d0 0x2000f Directory BaseNamedObjects
0x8216d988 796 0x7d4 0x37f WindowStation WinSta0
0x82332120 796 0x7d8 0xf00cf Desktop Default
0x8215fca0 796 0x7dc 0x1f0003 Event
0x81f662b0 796 0x7e0 0xf016e WindowStation Service-0x0-3e7$
0xe14f9610 796 0x7e4 0x20f003f Key MACHINE
0x81db83c0 796 0x7e8 0x100003 Semaphore
0xe18c3978 796 0x7ec 0x21f0001 Port
0xe172a940 796 0x7f0 0xf000f Directory Windows
0x81d32840 796 0x7f4 0x100003 Semaphore
0xe15a9e98 796 0x7f8 0x3 Directory KnownDlls
0xe10096e0 796 0x7fc 0xf0003 KeyedEvent CritSecOutOfMemoryEvent
確かに、こちらの出力結果では以下の様なFile項目が確認できます。
0x822e9578 796 0x758 0x12019f File \Device\irykmmww
RedLine上のHandlesではこれが発見できない理由は不明ですが、ひとつのツールに依存してはいけないという良い例かもしれません。枯れた技術分野ではありませんので、ツールよって解釈の違いや、単に不具合の影響などで結果が異なる可能性は常に存在しています。(または、単に私の使い方に問題があるだけである可能性もあります)
RedLineでもHandlesではなく、Driver Modulesではこの存在を確認できますので、Handlesで見つけられていなくても、他の項目でこれを確認する事は可能です。
逆に、Volatilityのhandlesには Occrence の項目がなく、発生数でソートするといったことができない不便な部分もあります。
また、RedLineであればStringsの項目でこれを確認することもできます。
どちらかといえば、問題があるとすれば、このモジュールに人間が気が付くか否かではないでしょうか?
SANS BlogではHandlesの確認の前に、各プロセスのDLLsを確認しています。という事は私は手順を間違えているわけですね。
改めて、SANSと同じ手順でPID 796 iexplore.exeのDLLをRedLineで確認してみたいと思います。sectionsでこれを確認することが出来ました。
これはなかなか面白い結果ではないでしょうか?irykmmwwという名前のファイルは2件ありますが、拡張子に差異があることが見てわかります。ソート順を名前にしていないと気が付きにくいかもしれません。
以下はVolatilityの結果ですが、同じファイルに気がつけますか?
************************************************************************
iexplore.exe pid: 796
Command line : "C:\Program Files\Internet Explorer\iexplore.exe"
Service Pack 3
Base Size LoadCount Path
---------- ---------- ---------- ----
0x00400000 0x9b000 0xffff C:\Program Files\Internet Explorer\iexplore.exe
0x7c900000 0xaf000 0xffff C:\WINDOWS\system32\ntdll.dll
0x7c800000 0xf6000 0xffff C:\WINDOWS\system32\kernel32.dll
0x77dd0000 0x9b000 0xffff C:\WINDOWS\system32\ADVAPI32.dll
0x77e70000 0x92000 0xffff C:\WINDOWS\system32\RPCRT4.dll
0x77fe0000 0x11000 0xffff C:\WINDOWS\system32\Secur32.dll
0x77f10000 0x49000 0xffff C:\WINDOWS\system32\GDI32.dll
0x7e410000 0x91000 0xffff C:\WINDOWS\system32\USER32.dll
0x77c10000 0x58000 0xffff C:\WINDOWS\system32\msvcrt.dll
0x77f60000 0x76000 0xffff C:\WINDOWS\system32\SHLWAPI.dll
0x7c9c0000 0x817000 0xffff C:\WINDOWS\system32\SHELL32.dll
0x774e0000 0x13d000 0xffff C:\WINDOWS\system32\ole32.dll
0x78130000 0x127000 0xffff C:\WINDOWS\system32\urlmon.dll
0x77120000 0x8b000 0xffff C:\WINDOWS\system32\OLEAUT32.dll
0x78000000 0x45000 0xffff C:\WINDOWS\system32\iertutil.dll
0x77c00000 0x8000 0xffff C:\WINDOWS\system32\VERSION.dll
0x76390000 0x1d000 0x3 C:\WINDOWS\system32\IMM32.DLL
0x773d0000 0x103000 0x5 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
0x5d090000 0x9a000 0x1 C:\WINDOWS\system32\comctl32.dll
0x10000000 0x9000 0x1 C:\WINDOWS\system32\irykmmww.d1l
0x78050000 0xd0000 0x2 C:\WINDOWS\system32\WININET.dll
0x00710000 0x9000 0x2 C:\WINDOWS\system32\Normaliz.dll
0x71ab0000 0x17000 0xd C:\WINDOWS\system32\WS2_32.dll
0x71aa0000 0x8000 0x10 C:\WINDOWS\system32\WS2HELP.dll
0x00150000 0xc000 0x1 C:\WINDOWS\system32\irykmmww.dll
0x5ad70000 0x38000 0x2 C:\WINDOWS\system32\uxtheme.dll
0x76fd0000 0x7f000 0x2 C:\WINDOWS\system32\CLBCATQ.DLL
0x77050000 0xc5000 0x2 C:\WINDOWS\system32\COMRes.dll
0x00e80000 0x2c5000 0x1 C:\WINDOWS\system32\xpsp2res.dll
0x76ee0000 0x3c000 0x2 C:\WINDOWS\system32\RASAPI32.dll
0x76e90000 0x12000 0x3 C:\WINDOWS\system32\rasman.dll
0x5b860000 0x55000 0x4 C:\WINDOWS\system32\NETAPI32.dll
0x76eb0000 0x2f000 0x2 C:\WINDOWS\system32\TAPI32.dll
0x76e80000 0xe000 0x3 C:\WINDOWS\system32\rtutils.dll
0x76b40000 0x2d000 0x2 C:\WINDOWS\system32\WINMM.dll
0x769c0000 0xb4000 0x1 C:\WINDOWS\system32\USERENV.dll
0x722b0000 0x5000 0x1 C:\WINDOWS\system32\sensapi.dll
0x71a50000 0x3f000 0x4 C:\WINDOWS\System32\mswsock.dll
0x76fc0000 0x6000 0x1 C:\WINDOWS\system32\rasadhlp.dll
0x662b0000 0x58000 0x1 C:\WINDOWS\system32\hnetcfg.dll
0x71a90000 0x8000 0x1 C:\WINDOWS\System32\wshtcpip.dll
0x77c70000 0x24000 0x1 C:\WINDOWS\system32\msv1_0.dll
0x76d60000 0x19000 0x1 C:\WINDOWS\system32\iphlpapi.dll
実は私は最初dlllistの結果を確認したのですが、この拡張子のトリックにさっぱり気が付いていませんでした。