「オンライン・フォレンジックLT大会-Emotet編」のメモ
初めに
株式会社イエラエセキュリティさん主催の「オンライン・フォレンジックLT大会」に参加しました。
「オンライン・フォレンジックLT大会 – Emotetの巻」開催のお知らせ|株式会社イエラエセキュリティ - ハッカーによる脆弱性診断
Emotet感染端末のフォレンジックについて、勉強になることがたくさんあったので、(お見苦しいところがあるかもしれませんが)私のメモを共有したいと思います。私自身も初心者なので、初心者向けのメモになっています。
調査の流れ
outlookの調査
- ostファイルを調べる
ファイルシステム上でwordを探す
コンテンツの有効化の痕跡を探す
動的解析
マクロはalt+F11
パワーシェルのスクリプトが入ってたりする
WMI確認
パワーシェル確認
プログラム実行履歴
Prefetchで実行されたファイルを見る
USNジャーナルでマルウェアに特徴的な自分をコピーして削除している、みたいな様子を探したりする
自動実行があるところ見る CurentVersion¥Run
追加マルウェアの感染有無を確認
メール情報の窃取の有無を確認
MAPIあたりを Prefetchなど確認する
その他
実行履歴(アーティファクト)で調査
UserAssist(NTUSER.DAT)
プログラム実行日時、回数、ファイルパスがわかる
ROT13されている
Prefetch
プログラム最終実行日時、実行ファイルパス、参照ファイルパス(起動に必要なファイルなど)、実行ファイルのボリュームシリアルの情報を持つ
WinPrefetchViewなどのツールがある
AppCompatCache(ShimCache)
Amcache.hve
実行されたプログラムの情報がわかる
ファイルパス、サイズ、タイムスタンプ、SHAハッシュ値の情報を持つ
MUICache
- 実行したアプリケーションを確認できる
イベントログ
- SysmonがインストールされているとID1で詳細を確認できるが、インストールされていることはあまりない
調査観点など
メールの添付ファイル開封有無
- メールを開くとキャッシュが作成されている
wordコンテンツの有効化の実行有無
WMIを使用してパワーシェル起動しているか
Emotetをダウンロードして実行しているか
二次感染の有無
最後に
Emotetの調査の流れや観点を学べ、とても勉強になるセミナーでした。イエラエセキュリティさんのスピーカーみなさん、ありがとうございました! 次回も参加したいです。
