eventlogedit が利用されると、イベントログ内で個別のレコードが削除されます。 下記Blogでは、eventlogeditがレコードを削除する仕組み、検出ツールとサンプルのEVTXファイルが紹介されています。 blog.fox-it.com サンプルEVTXファイルの内容を確認したい…

Windows 10 環境で取得した ntuser.dat.LOG1 ファイルのデータ内容を確認します。 ファイルフォーマットについては「Windows registry file format specification」のNew format を参照しています。 ファイルの先頭 512バイトは、Base block となっており、N…

レジストリから値を削除し、変化を確認します。サンプルとして、HKEY_CURRENT_USER\Environment 配下にUserInitMprLogonScript値を作成します。この値はAPT28で自動起動の手口としても利用されています。 この値のオフセット位置を確認します。 Registry Exp…

前回の続きです。ROOTキー(nk)のサブキーを確認します。ROOTキー配下に、サブキーは 9個あります。 ROOTキーのCELL内容から、サブキーのリストはオフセット位置 72,288（4096 + 68,192）である事を確認できます。 09 00 00 00 Number of subkeys ⇒ 901 00 00…

レジストリのバイナリ構造について確認します。レジストリファイルの構造については、「Windows registry file format specification」の資料を参考にします。 サンプルのレジストリファイルは Windows 10 のNTUSER.DAT を利用します。 Base Block 72 65 67 …

タイムスタンプを変更した場合の、USN ジャーナルの動作について確認してみます。検証環境は Windows 10 1709 です。 E:ドライブに crocodile.jpg ファイルをコピーし、USN Journal を確認します。 fsutil usn readjournal e: csv > output.csv Autopsy で $…

トレンドマイクロ社のブログ「ChessMaster’s New Strategy: Evolving Tools and Tactics」には下記の記述があります。 The Powershell script leverages RegisterXLL, which is a component of Excel, to load BKDR_ANEL into Excel.exe マルウェアは Excel …

Windows 10 ver 1709 上での sdelete コマンドの動作について。 Sdelete コマンドについては、Kazamiya さんが「SDelete | Forensicist」に詳しく整理されていますので、そちらを参照ください。 Picturesフォルダに JPEG ファイルを置いてあります。このボリ…

Rundll32.exe を利用した DLL 実行と、プリフェッチファイルの関係について確認してみます。テストした環境は Win 10 1709 Build 16299.15 です。 DLL ファイルには、Didier Stevens さんの作られた cmd.dll を利用します。 Rundll32 Windows\Prefetch フォ…

NTFSボリューム F: 上でデフラグを実行した場合に、$LogFile に記録される内容を確認してみます。 サンプルの画像ファイル crocodile.jpg のメタ情報を確認します。クラスタ番号 34848 からデータが配置されています。 $STANDARD_INFORMATION Attribute Valu…

NTFS には $LogFile があります。$LogFile を調べることで、ファイルシステム上で何か変化したかをより詳細に調べる事が可能です。 テストファイルの作成 Windows 10 環境上で VHD ディスクを作成し、USN ジャーナルを有効にします。 C:\Windows\system32>fs…

fsutil コマンドの「enablerangetracking」オプションを確認してみます。テスト環境は Windows 10 です。 この機能については、マイクロソフト社の下記URLで説明されています。 Tracking modified ranges of a file より引用 The NT File System (NTFS) team…

NTFS USN Jornal の確認用として、新規にVHDディスクを作成し、NTFSでフォーマットします。下記図ではF:ドライブが新規に作成したNTFSボリュームになります。 fsutil コマンドを利用し、ジャーナルの状態を確認します。F:ドライブに USN ジャーナルは設定さ…

Talosの記事には、マルウェアにより収集されたデータのスクリーンショットが掲載されています。 Cisco's Talos Intelligence Group Blog: CCleaner Command and Control Causes Concern より部分的に引用 In addition, the compromised machines would share…

Security IDと$Secureの関係について確認します。[注意事項]一部は不完全なパース結果となっています。 最初にサンプルファイル（crocodile.jpg）のアクセス権を確認します。 ファイル crocodile.jpg のSecurity IDを確認します。Security ID 値は $STANDARD…

CCleaner version 5.33.6162 に関して下記レポートが出ています。このレポートでは、Persistenceの仕組みとしてマルウェアがサービスを利用している事を説明しています。 Progress on CCleaner Investigation より引用The second part of the payload is res…

Penguin.jpg の ObjectID を、$ObjId 内で確認します。 $ObjId は $Extend フォルダ配下にあります。 MFTレコード番号 25 を$MFT内で参照します。0x90 $INDEX_ROOTを確認できます。 0x00006500: 90 00 00 00 A8 00 00 00 00 02 18 00 00 00 02 00 ..........…

NTFS $OBJECT_ID (0x40) に関する基本情報は、Kazamiya さんが書かれている「ObjectID アーティファクト」を参考にしてください。 Windows 10環境上で、USBメモリ内のファイルを参照した場合に、ObjectIDが作成されるか確認します。 Windows 10 へ USB メモ…

$I30のバイナリ構造を確認します。 Autopsyで Pirctures フォルダの File Metadata を確認します。「$INDEX_ROOT (144-1) Name: $I30」が Resident として存在している事を確認できます。 From The Sleuth Kit istat Tool: MFT Entry Header Values: Entry: …

Sysmon v6.10 が 9/11 にリリースされ、WMI Filterとconsumersがモニタリング出来るようになったようです。 3つのイベントIDが追加されています、登録を検出するようですね。 Sysmon - Windows Sysinternals | Microsoft Docs より引用 Event ID 19: WmiEven…

NTFS $I30 内に、削除レコードを作成してみます。 サンプル用にフォルダPicturesを作成します。 次に、削除レコードとして残したいファイルをPicutresフォルダへコピーします。ファイル名は、名前でソートした場合、最後に表示される名前にしておきます。 今…

「New Pacifier APT Components Point to Russian-Linked Turla Group」のレポート内には、Webブラウザのキャッシュを利用するマルウェアの話題が記載されています。 https://media.scmagazine.com/documents/314/bitdefender-whitepaper-pacifie_78483.pdf …

Fortinet から DLL ハイジャックを利用する Rehashed RAT に関するレポートが出ています。 blog.fortinet.com 自動起動として Run キーを利用します。Runキーに登録されるファイルには、幾つかパターンがあるようです。Run キー内に Systemm.exe(50fcc5c822a…

8/31 に paloalto Unit 42 から下記レポートが出ています。 researchcenter.paloaltonetworks.com 自動起動の手口として、タスクスケジューラが利用されています。 オリジナルではタスクの登録名前が、「"f*** you" 」とかなり目立つ名前になっています。 タ…

8/23 に Fortinet から Poison Ivy に関する下記レポートが出ています。 blog.fortinet.com 自動起動の仕組みとしては、スタートアップに VBS ファイルを登録する方式になっています。登録された VBS ファイルはピンクハイライトになる為、Autoruns であれば…

トレンドマイクロ社からのレポートが更新され、ファイルレス型の攻撃において、USB メモリ経由である事がアップデートとして報告されている。 blog.trendmicro.com 上記レポートでは、幾つかのマルウェアが登場しているが、自動起動について確認。 TROJ_ANDR…

下記レポート『New Pacifier APT Components Point to Russian-Linked Turla Group』では、マルウェアを起動する為の自動起動の手口として 6 種類が報告されている。 幾つかは Windows XP を対象とした古い手法のようだが、自動起動を確認するツールとして、…

ディレクトリエントリの痕跡からファイル復元 VHDディスク上に FAT32 でボリュームを作成。ボリュームサイズは 100MB。 JPEG画像ファイル（犬の画像）を FAT32 ボリューム上の Pictures フォルダに置きます。 FAT32ボリュームを「クイック」フォーマット。 …

9002 RAT についての記事、persistence の仕組みとしては LNK ファイルを利用。 www.proofpoint.com スタートアップに UpdateCheck.lnk を作成、中身としては Powrshell を利用する仕組みとなっているようです。 プロパティを確認 バイナリを確認 スタートア…

FireEye社から APT 28に関するレポート「APT28 Targets Hospitality Sector, Presents Threat to Travelers」が出ており、下記で日本語に翻訳された関連記事も読めます。ただ、横展開に関する手法や Responder の仕組みについて扱われていますが、マルウェア…