内角540°

セキュリティ。SIEMとかIPSとか統計とかクラウドとか。数学以外で。

Windows プリフェッチの分析

Prefetchとは

Windowsで、アプリケーションの起動時間を短縮するためのデータキャッシュ。
アプリケーションが起動してから10秒間の情報を記録している。

ファイルの実行痕跡だけでなく、
・実行ファイルの場所
・過去に何回実行されたか
などなど…記載されるため、マルウェアの挙動解析として活用できる。

配置場所

プリフェッチファイルは下記のパスに拡張子[.pf]として作成される。

%Systemroot%\prefetch

f:id:gokaxtukei:20180203184037p:plain

最大128個のプリフェッチファイルが作成される
https://blogs.msdn.microsoft.com/ryanmy/2005/05/25/misinformation-and-the-the-prefetch-flag/

記述フォーマット

内部は専用のフォーマットで記載されており、容易に読み取れない。
f:id:gokaxtukei:20180203184116p:plain
http://forensicswiki.org/wiki/Windows_Prefetch_File_Format

分析時にはツールを使用し、情報を確認する。

プリフェッチの設定

regeditでロギング対象を設定できる。

\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters

EnablePrefetcherに以下を設定する。

value* ロギング対象*
0 停止
1 アプリケーション起動
2 システム起動
3 すべての起動

f:id:gokaxtukei:20180203184150p:plain

※3に設定しても、最大128ファイルまでしか作成されない

命名規則

プリフェッチファイルの名前は実行ファイル名と、ハッシュ値で決定する。

[アプリケーション名]-[ファイルパスをベースにしたハッシュ値].pf

e.g.
WIRESHARK.EXE-76B1D076.pf

異なるパスから実行された同一名の実行ファイルは、別々のプリフェッチファイル名となる。
そのため、ファイル名だけ正規を模した不審なファイルは、これで判別がつけられる。

Prefetch hash
http://forensicswiki.org/wiki/Prefetch

解析

プリフェッチファイルにはフォレンジックに欠かせない情報がいろいろはいっている。

  • 「どこのパスから実行されたか(Process Path)
  • 「初めての実行はいつか(Created Time)」
  • 「最新の実行はいつか(Last Run Time)」
  • 「何回実行されたか(Run Counter)」
  • 「何のファイルをロードしたか」

マルウェアであり、大量に実行されている場合はタスクスケジュールなどに登録されているかもしれない。
→(追加でjobファイル等も参照する)
プロキシで大量通信イベントが発生しているタイミングでの実行ログであれば、目的実行のマルウェアとも推測できるかも。

ファイルが消されていても推測可能で、解析の足がかりになる。

強力なツール化を活用することで、情報整理しながら解析を行うのがよい。

CLI(Windows-Prefetch-Parser)

使ったこと無いが…CLIツールも複数あり。
https://github.com/PoorBillionaire/Windows-Prefetch-Parser

f:id:gokaxtukei:20180203184246p:plain

おわりに

プリフェッチはWindowsフォレンジックにおいて、解析の足がかりになる。
闇雲に不審ファイルを探すのは楽しいが、時間がかかり、イケてないので
強力なツールと残された痕跡で効率よく追跡する。

forensicswiki.org はなんでも載ってる、偉大。

SIEM相関ルール成熟までのプロセス

Gartnerさんに掲載された記事。
問題は何か、明確にすることが大前提であり、
SIEMやSIEMによる相関ルールが目的にはならないことを強く推している。

SIEM Use Case Implementation and Tuning Process
blogs.gartner.com

続きを読む

SIEMの活用と成熟過程(SIEM Use Cases and Process Maturity)

McAfeeに掲載されたGrant Babbさんの"SIEMの活用"に関する記事。
とても良い記事でした(・o・)

SIEM Use Cases and Process Maturity
https://community.mcafee.com/community/business/siem/blog/2012/12/24/siem-use-cases-and-process-maturity--the-plays-to-run

続きを読む

セキュリティレポートのリンク集

最近読んだセキュリティレポート

セキュリティレポート

レポート名 頻度 リンク
McAfee
脅威レポート
四半期 McAfee セキュリティ研究レポート
IIJ
Internet Infrastructure Review
四半期 セキュリティ・技術レポート IIJ
Symantec
脅威レポート
年次 セキュリティ脅威レポート
※要登録
Cisco
セキュリティレポート
半期 Ciscoセキュリティレポート
※要登録
NTT-Com
セキュリティレポート
不定期 NTT Communicationsセキュリティレポート
※一部登録必須
FFRI
Monthly Research
月次 http://www.ffri.jp/research/monthly_research.htm
FFRI
リサーチペーパー
不定期 http://www.ffri.jp/research/research_papers.htm
Trend Micro
セキュリティレポート
Trend Microセキュリティ情報
LAC
JSOC INSIGHT
四半期 https://www.lac.co.jp/lacwatch/report/
IBM
Tokyo SOC Report
不定期 https://www.ibm.com/blogs/tokyo-soc/
NRIセキュア
調査レポート
不定期 自社調査レポート
※要登録

セキュリティブログ

レポート名 リンク
Fortinet
セキュリティブログ
セキュリティブログ - フォーティネット
F-Secure
エフセキュアブログ
エフセキュアブログ
TrendMicro
セキュリティブログ
トレンドマイクロ セキュリティブログ
KASPERSKY
カスペルスキー公式ブログ
カスペルスキー公式ブログ
IIJ
IIJ-SECT Security Diary
IIJ-SECT Security Diary