@port139 Blog

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

2017-09-01から1ヶ月間の記事一覧

SessionEnvとTSMSISrv.dll

CCleaner version 5.33.6162 に関して下記レポートが出ています。このレポートでは、Persistenceの仕組みとしてマルウェアがサービスを利用している事を説明しています。 Progress on CCleaner Investigation より引用The second part of the payload is res…

$ObjId と $O

Penguin.jpg の ObjectID を、$ObjId 内で確認します。 $ObjId は $Extend フォルダ配下にあります。 MFTレコード番号 25 を$MFT内で参照します。0x90 $INDEX_ROOTを確認できます。 0x00006500: 90 00 00 00 A8 00 00 00 00 02 18 00 00 00 02 00 ..........…

NTFS $OBJECT_ID と Removable

NTFS $OBJECT_ID (0x40) に関する基本情報は、Kazamiya さんが書かれている「ObjectID アーティファクト」を参考にしてください。 Windows 10環境上で、USBメモリ内のファイルを参照した場合に、ObjectIDが作成されるか確認します。 Windows 10 へ USB メモ…

$INDEX_ROOT と $I30

$I30のバイナリ構造を確認します。 Autopsyで Pirctures フォルダの File Metadata を確認します。「$INDEX_ROOT (144-1) Name: $I30」が Resident として存在している事を確認できます。 From The Sleuth Kit istat Tool: MFT Entry Header Values: Entry: …

WMIとsysmon v6.10

Sysmon v6.10 が 9/11 にリリースされ、WMI Filterとconsumersがモニタリング出来るようになったようです。 3つのイベントIDが追加されています、登録を検出するようですね。 Sysmon - Windows Sysinternals | Microsoft Docs より引用 Event ID 19: WmiEven…

NTFS $I30 と Deleted record

NTFS $I30 内に、削除レコードを作成してみます。 サンプル用にフォルダPicturesを作成します。 次に、削除レコードとして残したいファイルをPicutresフォルダへコピーします。ファイル名は、名前でソートした場合、最後に表示される名前にしておきます。 今…

C2とWeb Storage

「New Pacifier APT Components Point to Russian-Linked Turla Group」のレポート内には、Webブラウザのキャッシュを利用するマルウェアの話題が記載されています。 https://media.scmagazine.com/documents/314/bitdefender-whitepaper-pacifie_78483.pdf …

Rehashed RATとDLL Hijacking

Fortinet から DLL ハイジャックを利用する Rehashed RAT に関するレポートが出ています。 blog.fortinet.com 自動起動として Run キーを利用します。Runキーに登録されるファイルには、幾つかパターンがあるようです。Run キー内に Systemm.exe(50fcc5c822a…

KHRAT Malware と Fa??

8/31 に paloalto Unit 42 から下記レポートが出ています。 researchcenter.paloaltonetworks.com 自動起動の手口として、タスクスケジューラが利用されています。 オリジナルではタスクの登録名前が、「"f*** you" 」とかなり目立つ名前になっています。 タ…

Poison Ivy と MSIEXEC

8/23 に Fortinet から Poison Ivy に関する下記レポートが出ています。 blog.fortinet.com 自動起動の仕組みとしては、スタートアップに VBS ファイルを登録する方式になっています。登録された VBS ファイルはピンクハイライトになる為、Autoruns であれば…

ANDROM と自動起動(Regsvr32)

トレンドマイクロ社からのレポートが更新され、ファイルレス型の攻撃において、USB メモリ経由である事がアップデートとして報告されている。 blog.trendmicro.com 上記レポートでは、幾つかのマルウェアが登場しているが、自動起動について確認。 TROJ_ANDR…

Turla の自動起動手口

下記レポート『New Pacifier APT Components Point to Russian-Linked Turla Group』では、マルウェアを起動する為の自動起動の手口として 6 種類が報告されている。 幾つかは Windows XP を対象とした古い手法のようだが、自動起動を確認するツールとして、…

FAT32 と犬

ディレクトリエントリの痕跡からファイル復元 VHDディスク上に FAT32 でボリュームを作成。ボリュームサイズは 100MB。 JPEG画像ファイル(犬の画像)を FAT32 ボリューム上の Pictures フォルダに置きます。 FAT32ボリュームを「クイック」フォーマット。 …