CrowdResponseを試してみる(1)
SANS Forensics Blogで紹介されている CrowdResponse を少しずつ見ていきたいと思います。インシデント・レスポンス用のツールで、基本的にはWindows XP以降の環境に対してセキュリティ情報を収集する?コマンドラインツールという位置付けのようです。
サポートしているOSとしては、Windows XP~Windows 8.1、Windows Server 2003~2012で32bitと64bitの両方がサポートされています。
CROWDSTRIKEのWebからダウンロードする事ができますが、ライセンスとしてはApache License 2.0 になるようです。
ZIPファイルをダウンロードできますので、展開するとPDFのマニュアルが入っていますが、ページ数としては33ページあります。
CrowdResponseにはYARA(Yet Another Regex Analyzer)が組み込まれているようで、YARAのシグネチャを使ってマルウェアのスキャンなどが可能になっています。メインツールとサブツールという位置付けがあり、YARAは追加モジュール扱いのようですが、YARA使った経験がないので、個人的にはBlogみてここに興味が特に引かれた点でもあります。
マニュアルでは 8ページ辺りまで基本的な引数の説明があり、9ページからサブツールの @DirList の説明が始まっています。設定ファイルで対象となるフォルダを指定することで、指定フォルダ配下にあるファイルのリストがメタデータとハッシュ値つきで出力するという事みたいですね。ハッシュの方式としては MD5 と SHA256 がサポートされていると。
ハッシュ以外に興味深いオプションとして、-c でデジタル署名の確認と表示、-x で実行ファイル(PE)だけを対象にするといった事ができるようです。ただ、-fでファイル名マスクを指定することができ、例示でも -f *.exe とかあるので、-x の使いどころがちょっと謎です。
@DirListを実際に試してみたいと思いますので、まずは config.txt に下記を追加しておきます。
@dirlist "C:\temp\cpconv-0.8.8" -h -m -r -t -f *.exe
出力結果は以下でしたが、OS標準の notepad.exe って署名されてないんでしたっけ?知りませんでした。もう一点、originalfilename の部分ですが、"NOTEPAD.EXE.MUI"となりますが、この情報を何処からから持ってきているかが謎です。
<file>
<name>"C:\temp\sample\notepad.exe"</name>
<size>179712</size>
<attr hex="0x20" str="ARCHIVE" />
<created>"2009-07-14T01:14:27Z"</created>
<accessed>"2009-07-14T01:14:27Z"</accessed>
<modified>"2009-07-14T01:14:27Z"</modified>
<companyname>"Microsoft Corporation"</companyname>
<filedescription>"メモ帳"</filedescription>
<fileversion>"6.1.7600.16385 (win7_rtm.090713-1255)"</fileversion>
<internalname>"Notepad"</internalname>
<legalcopyright>"© Microsoft Corporation. All rights reserved."</legalcopyright>
<originalfilename>"NOTEPAD.EXE.MUI"</originalfilename>
<productname>"Microsoft® Windows® Operating System"</productname>
<productversion>"6.1.7600.16385"</productversion>
<cert_exists>"FALSE"</cert_exists>
<cert_verified>"FALSE"</cert_verified>
<cert_result>"TRUST_E_NOSIGNATURE"</cert_result>
<cert_comment>"The file is not signed"</cert_comment>
<cert_signer>""</cert_signer>
<hash md5="d378bffb70923139d6a4f546864aa61c" sha256="c4232ddd4d37b9c0884bd44d8476578c54d7f98d58945728e425736a6a07e102"/>
</file>