マルウェアをはじめとする多くの不正プロセスは、Windows起動時に自動実行するように設定されています。
そのため、起動時にチェックを行うことが重要なポイントになります。
システム稼働時のプロセスチェック Autoruns
被害を受けたPCの物理イメージがどうしても取得できない環境下の場合、それほどたいしたインシデントではないかもしれない、といった状況のときに利用するツールが「Autoruns」です。
このツールは、インストールは不要です。
ダウンロードしたファイルを解凍するだけで手軽に利用できます。
このツールの使い方については
攻撃者が狙う脆弱性への対策 Autorunsを利用したシステム内の確認
を参照ください。
- Autorunsの入手先
https://technet.microsoft.com/ja-jp/sysinternals/bb963902.aspx
このツールは、プロセス情報に加えマルウェアの動作確認に必要なレジストリ情報などの情報を一覧表示してくれます。
初動対応に必要な情報の収集 FastIR
インシデント発生時にはスピーディーに調査対象ファイルを集めたいものです。
インシデントヘの対応経験者が一度は考えることでしょう。
PCの挙動が通常とは違うがクロとは言えない状況や、影響範囲は然程大きなものでないことがわかっている場合などは、素早い対応をおこなうことも重要なポイントです。
そこで利用したいのが、初動対応に必要なデータの収集ツールです。
「FastIR」はデータの収集ツールの1つで、被害PCから調査に必要な最低限の証跡を収集してくれるものです。
FastIRによる情報収集
FastIRは、以下のURLからダウンロードすることができます。
ダウンロードしたら解凍しましょう。
- ツール名:FastIR
- 使用目的:証跡の収集
- 入手方法:https://github.com/SekoiaLab/Fastir_Collector/zipball/master
解凍したフォルダー配下の「build」内にコンパイルされたプログラムが設置されています。
これらのなかから、環境にあったプログラムを管理者権限で実行していきます。
収集データを調査する
特に実行時にオプションを指定していなければ、イベントログやレジストリなどから主に次の項目の情報が収集できます。
収集できる情報
- IE History
- Prefetch
- Recycle-bin(ゴミ箱)
- プロセス
- スタートアップ情報
- サービス
- ネットワーク情報
オプションを指定することで、メモリダンプなども取得可能になります。
オプション一覧
- オプション : 解説
- -h、–help : ヘルプメッセージを表示する
- –packages : パッケージを指定して証跡を収集する。パッケージは、all、memory、registry、evt、fs、healthから選択
- –output_dir OUTPUT_DIR : CSV形式で出力する場合は、出力先を指定する
- –dump DUMP : メモリをダンプしたい場合に利用
- –profile PROFILE : プロファイルを設定する場合はconfファイルを利用する
収集された情報はCSV形式で出力されます。
データは「build」の下の「output」フォルダーへ収集した日時ごとに保存されます。
各ログは、JSONのビューアで閲覧するのが良いでしょう。
外部へ通信を行っているプロセスには特に注意が必要です。
まずは、「コンピュータ名sockets.json」のログを閲覧するのが良いでしょう。
IRツールを稼働しているシステム上で動作させる際は、可能なかぎりそれ以上の操作は最小限に留めましょう。
その後で、本格的なデジタル・フォレンジックが必要になるかもしれないためです。
可能な限り被害時からシステム状況の変化が少ない状況にしておくことが好ましいのです。