CrowdResponseを試してみる(3)
SANS Forensics Blogで紹介されている CrowdResponse を引き続き見ていきたいと思います。
マニュアルでは 12ページからサブツールの @yara の説明が始まります。残念ながら私はYaraの利用経験がありませんので、間違って書いている部分があるかもしれません。
Yaraルールの適用先ですが、オプションとしては下記が確認できます。アクティブプロセスだけでなく、アクティブプロセスのメモリ、ロードされているモジュールもチェック対象になるのは興味深いです。アクティブプロセスの実行ファイルとモジュールに対するスキャンは、ディスク上のファイルに対して行われているように実行結果からは見えますが、実行後ディスク上の実体が削除されているケースではプロセスメモリの方が確認されるのでOKということでしょうかね。
-a Scan active processes memory
-b Scan active processes executable files
-o Scan all loaded module files of active processes
-t <dir> Starting target files directory
プロセスIDを直接指定することも出来るようですが、プロセスの名前を指定してフィルタする事はできないようです。ファイルシステム側のファイル名については-f <mask>が利用できますね。
Yaraのルールファイルは指定したフォルダ配下や指定URLからのダウンロード、または設定ファイルに記述したルールを利用できるということですね。
SANSのBlog記事や、マニュアルとサンプル設定ファイル(config.txt)を見ている感じでは、設定ファイル内では一種類のYaraルールだけ定義が可能という仕様でしょうか。
http://digital-forensics.sans.org/blog/2014/04/09/signature-detection-with-crowdresponse
Yaraのスキャン対象については、設定ファイルに複数記述が可能になっており、どのパス配下のどのパターンといった指定を行う事が可能ですので、使うYaraのルールを別管理すればかなり柔軟なスキャンは可能になりそうですね。