2018年06月11日

証拠保全用スクリプト

 簡易フォレンジックに必要となるエビデンスを自動収集するスクリプトを作成しました。USBメモリ等に、必要なツール(※1)と一緒に格納したうえで利用します。

  (※1)各自で別途ダウンロードしていただく必要があります。詳細はREADMEをご参照ください。

 本スクリプトを格納したUSBメモリ等を調査対象コンピューターに接続し、本スクリプトを実行すると、USBメモリ等にエビデンスがコピーされます。

 WindowsXP、Windows7、Windows10(1709)において動作することを確認しておりますが、不具合等がありましたら情報提供いただけると助かります。

ForensicScript.zip (7.54KB)
簡易操作手順書(ForensicScript_manual_v20180605_B0.2.docx) (22.7KB)

証拠保全スクリプトで自動収集するエビデンス

 本スクリプトでは、以下のエビデンスを自動収集できます。

  • $MFTおよびUsnJrnl:$J
  • イベントログファイル
  • Prefetchファイル
  • レジストリファイル
  • 各ユーザーのNTUSER.DAT、Recentフォルダ、IEの閲覧履歴ファイル
  • setupapi.log(XP)、setupapi.dev.log(Win7)
  • 各種コマンド実行結果

事前準備

1.本スクリプトから実行されるツールをダウンロード

 本スクリプトから実行される以下のツールをダウンロードします。

※1 ExtractUsnJrnl.exe(32bit版)は、マルウェアとして誤検知されることがあるため、修正版を利用します。
※2 WindowsXP環境において、handleの最新版であるver.4.11.0.0を実行時にエラーが発生したため、旧バージョンを利用します。旧バージョンを用意できない場合、XP用スクリプトからhandleを削除してください。

2.USBメモリ等にスクリプト、ツール等を配置

 USBメモリ等に、以下のフォルダ構成で、スクリプトならびに上記1.の手順でダウンロードしたツールを配置します。

ルートフォルダ
├ ir-win7.vbs ・・・ エビデンス取得スクリプト(Windows7版)
├ ir-winxp.vbs ・・・ エビデンス取得スクリプト(WindowsXP版)
├ evidence ・・・ スクリプトで取得したエビデンスが保管されるフォルダ
└ tools
  └cmdTools ・・・ダウンロードしたツールをこのフォルダ内に配置

証拠保全スクリプトの使い方

(1)管理者権限でログオンした状態で、スクリプト「ir-win7.vbs」または「ir-winxp.vbs」をダブルクリックして起動します。

(2)実行確認のメッセージボックスが表示されたら、「はい」をクリックすると、処理が開始されます。
 なお、Windows7の場合は、ユーザーアクセス制御(UAC)の確認メッセージが表示されるため「はい」をクリックする。

(3)エビデンスは,「evidence」フォルダ内の「コンピュータ名_年月日時分秒」フォルダに保存されます。
 また,同フォルダには「log.txt」が作成され,処理開始日時・処理終了日時が記録されます。

posted by やまと at 20:42| Comment(0) | 実験日誌

2018年03月04日

「干物妹ランサムウェア」検体の挙動確認

 干物妹ランサムウェアという、怪しげなマルウェアの存在をMalwareHunterTeamさんのつぶやきで知ったので、検体を入手して解析してみました。

 結論からいうと、つぶやきにあるとおり、暗号したファイルの復号が容易であり、ジョークソフトとしか思えない。でも、いわゆるウイルス作成罪(不正指令電磁的記録に関する罪)に該当すると思います。冗談半分だったのかもしれませんが、マルウェアを作成・公開することはやめましょう・・・。

検証環境


[感染パソコンの環境]
  • Windows7 Home Edition SP1 32bit版(VMwareの仮想マシン)
  • Microsoft .NET Framework 4.7.1
[検体情報]
  • ハッシュ値(SHA256): dde7c1c88adce965134af781ad7efa3cb75a4f2cc028b1de2741d05184881602
  • 検知名(トレンドマイクロ): Ransom_Genasom.THBAFH

検証結果

(1)感染時の挙動

検体をエクスプローラでダブルクリックして実行したところ、ドキュメントフォルダ内のテキストファイル(.txt)、ワード文書(.doc)が暗号化されるとともに、拡張子が「.干物妹!」に変更されました。
Screenshot1 infected desktop

(2)復号

検体をコマンドプロンプトから「-recover」オプションを付けて起動したところ、暗号化されたファイルが復号化されました。
Screenshot2 recoverd desktop

(3)解析

検体は.NETアプリケーションであり、ILSpyで解析することでソースコードを確認することができました。
難読化もされておらず、素直なコードです。スクリーンショットには、複号用オプション「-recover」が指定されたか確認するコードが写っています。
Screenshot3 IRSpy

補足

 「干物妹」は、「ひもうと」と読むそうです・・・。勉強になりました。

posted by やまと at 18:26| Comment(0) | 実験日誌

2018年02月01日

CPUの脆弱性MeltdownとSpectreの影響分析

 世間を賑わせているCPUの脆弱性「Meltdown」、「Spectre」で具体的にどのような影響があるのか情報が錯そうしておりましたが、論文などを読み込み、現実的な攻撃シナリオを添付ファイルのとおり整理してみました。
 間違っている部分があれば、ご指摘ください・・・。(ご指摘いただく場合は、一次情報を読み込んだうえでお願いいたします。)

Meltdown_Spectre.pdf (98.3KB)

 なお、本当は技術的詳細をもっと丁寧に記載すべきですが、論文などを読み込むだけで力尽きてしまいましたのでご容赦ください(汗)


posted by やまと at 00:02| Comment(0) | 実験日誌