setodaNote

忘れる用のメモ書き

インシデントレスポンス初動対応時のデータ収集ツール

データ収集ツール

インシデントレスポンスの初動対応で端末からデータを取得するのに利用できそうなツールをいくつか試してみました。 主にファイルダンプ取得を目的として、ぱっとそのまま使えるものをという観点でいくつかの機能を確認し、結果を表にまとめました。(※1、※2、※6)

実行結果(Windows 環境で確認)

# 名称 対応OS $MFT $UsnJrnl $LogFile Evtx Registry Prefetch Browser
History
Memory
Dump
Report 配布場所
1 CDIR Collector Windows OK OK - OK OK
(+.log)
OK IE/Edge,
Chrome, Firefox
OK Log 公式サイト
2 CyLR Windows,
Mac, Linux
OK OK OK OK OK
(+.log)
OK IE/Edge,
Chrome, Firefox
- Log 公式サイト
3 Live Response Collection
(Cedarpelta)
Windows,
Mac, *nux
OK OK OK OK OK OK IE/Edge,
Chrome, Firefox
OK Log 公式サイト
4 FastIR Collector Windows
Linux
OK - - OK OK
(+.log)
(※3) IE,
Chrome, Firefox
OK Log Windows版
Linux版
5 DG Wingman Windows OK - - (※5) OK OK IE/Edge,
Chrome, Firefox,
Opera, Safari
- - 公式サイト
6 triage-ir Windows OK - - OK (※4) OK - OK - 公式サイト
7 IREC (無料版) Windows (※3) - - OK OK - - OK
(+pagefile)
HTML 公式サイト
8 Panorama Windows - - - - - - - - HTML 公式サイト

※1 設定変更をせずに取得できるものを確認しました。
※2 加工なくダンプされるものを OK としています。
※3 パースした結果は取得されます。
※4 SOFTWARE については「Wow6432Node」配下のみが取得されていました。SAM、SECURITYはデータが存在しない部分が省略されファイルサイズが異なっていましたが、データがある部分は取得元と同一でした。
※5 「Application」「Security」「System」など一部の生ファイルと認証関係のログをパースした結果が出力されます。
※6 先頭の番号は視認性のためのインデックスです。類似のツールが近くになるように配置しており、並び順は優劣を意味するものではありません。


CDIR Collector

f:id:soji256:20190616142656p:plain
CDIR-C(Cyber Defense Institute Incident Response Collector)

使い方

  1. リリースページ から「CDIR Collector v1.3.3」をダウンロード
  2. 対象マシン上で cdir-collector.exe を実行する
    • 実行時にメモリダンプ実施について選択肢が表示される(MemoryDump (1:ON 2:OFF 0:EXIT)
  3. 抽出結果は実行ファイルと同じ場所に作成される PCNAME_yyyymmddhhMMss フォルダに出力される

概要

  • 取得時間:2分程度
  • 対応OS:Windows

ドキュメント

パース結果として出力されるファイル(実行結果より)

  • なし

メモ

Windows においては幅広く情報を抽出可能。メモリは圧縮形式で生成されるため物理メモリ量より小さいファイルサイズで済む。 CDIR Analyzer というパースツールも提供されている。


CyLR

f:id:soji256:20190713161047p:plain
CyLR

使い方

  1. リリースページ から「CyLR 2.1.0」をダウンロード
  2. 対象マシン上で CyLR.exe を管理者権限で実行する
  3. 抽出結果は実行ファイルと同じ場所に作成される HOSTNAME.zip に出力される

概要

  • 取得時間:2分程度
  • 対応OS:Windows、Mac、Linux

ドキュメント

パース結果として出力されるファイル(実行結果より)

  • なし

メモ

Windows においては幅広く情報を抽出可能。収集アーティファクトをパスワード付きZIPで保存したりSFTPで送ることもできる。 なお、何もアップデートしていない状態のWindows7x64(SP1)で実行しようとした際に .NET Core が無いと言われて実行できなかったが、 最新版(2019/07)のWindowsアップデートを適用することで実行できた。

Failed to load the dll from [C:\Users\username\AppData\Local\warp\packages\CyLR.exe\hostfxr.dll], HRESULT: 0x80070057
The library hostfxr.dll was found, but loading it from C:\Users\username\AppData\Local\warp\packages\CyLR.exe\hostfxr.dll failed
  - Installing .NET Core prerequisites might help resolve this problem.
     https://go.microsoft.com/fwlink/?LinkID=798306&clcid=0x409

Live Response Collection - Cedarpelta

f:id:soji256:20190616150519p:plain
BriMor Labs - Tools

使い方

  1. リリースページ から「Live Response Collection – Cedarpelta Build」をダウンロード
  2. 対象マシン上で Windows_Live_Response\Windows Live Response Collection.exe を実行する
  3. 表示される画面の下側にあるTriageを選択する
    • ファイルダンプも取得したい場合:Memory Dump を選択する
  4. 抽出結果は実行ファイルと同じ場所に作成される COMPUTERNAME_date_hhMMss フォルダに出力される

概要

  • 取得時間:2分程度
  • 対応OS:Windows、Mac、*nux

ドキュメント

  • 説明書 (製作者のブログ)
  • 対応アーティファクト:リストなし

パース結果として出力されるファイル(実行結果より)

All_logons_wmic.txt
DiskDriveList_wmic.txt
Driver_group_load_order_wmic.txt
Full_file_listing.txt
Hashes_md5_Startup_and_Dates.txt
Hashes_md5_System32_AllFiles_and_Dates.txt
Hashes_md5_System_TEMP_AllFiles_and_Dates.txt
Hashes_md5_User_TEMP_AllFiles_and_Dates.txt
Hashes_sha256_Startup_and_Dates.txt
Hashes_sha256_System32_AllFiles_and_Dates.txt
Hashes_sha256_System_TEMP_AllFiles_and_Dates.txt
Hashes_sha256_User_TEMP_AllFiles_and_Dates.txt
Installed_software_wmic.txt
LastActivityView.html
List_hidden_directories.txt
Loaded_dlls.txt
Loaded_system_drivers_wmic.txt
LogicalDisk_name_wmic.txt
LogicalDisk_size_caption_wmic.txt
NetBIOS_sessions.txt
Possible_unicode_files_and_directories.txt
PrcView_extended.txt
PrcView_extended_long.txt
PsList.txt
PsLoggedon.txt
PsLoglist.txt
Running_processes.txt
Startup_wmic.txt
TCPView.txt
Windows_Version.txt
Windows_codepage.txt
autorunsc.csv
autorunsc.txt
cports.html
nbtstat.txt
netstat_anb_results.txt
psfile.txt
psinfo.txt
scheduled_tasks.txt
services_aw_processes.txt
system_date_time_tz.txt
system_info.txt
system_info_wmic.txt
whoami.txt

メモ

Windows においては幅広く情報を抽出可能。また複数のOSに対応している。出力フォルダの日付部分は変換方式が謎。


FastIR Collector

f:id:soji256:20190616135817p:plain
FastIR Collector - github

使い方

  1. リリースページ から「FastIR_x64.exe」(もしくは「FastIR_x86.exe」)をダウンロード
  2. 対象マシン上でコマンドプロンプトから fastIR_x64.exe --packages fs,evt,health,registry,memory,dump,FileCatcher を実行する
    • ファイルダンプ以外を実行したい場合: fastIR_x64.exe --packages fast
    • ファイルダンプのみを実行したい場合: fastIR_x64.exe --packages dump
  3. 抽出結果は実行ファイルと同じ場所に作成される output\yyyy-mm-dd_hhMMss フォルダに出力される

概要

  • 取得時間:3分程度
  • 対応OS:Windows、Linux(Linux版

ドキュメント

パース結果として出力されるファイル(実行結果より)

Filecatcher.csv
USBHistory.csv
arp_table.csv
bootLoaderAssemblyCode.txt
chrome_history.csv
clipboard.csv
custom_registry_keys.csv
firefox_history.csv
hash_processes.csv
installed_components.csv
installer_folder.csv
kb.csv
list_drives.csv
list_networks_drives.csv
mft_C.csv
named_pipes.csv
network_list.csv
opensaveMRU.csv
prefetch.csv
processes.csv
processes_dll.csv
processes_opened_files.csv
recent_docs.csv
recycle_bin.csv
registry_services.csv
results.txt
routes_tables.csv
run_MRU_start.csv
scheduled_jobs.csv
services.csv
sessions.csv
shares.csv
shellbags.csv
sockets.csv
startup.csv
startup_files.csv
user_assist.csv
vbr.txt
vbr_AssemblyCode.txt
windows_values.csv
winlogon_values.csv

メモ

Windows においては幅広く情報を抽出可能。また多くの情報をパースした形で出力してくれる。1ファイルのみで実行可能。


DG Wingman

f:id:soji256:20190901200750p:plain
Introducing DG Wingman, a Free Forensics Tool | Digital Guardian

使い方

  1. リリースページ から「Submit」をクリック
    • 必要事項を入力するとダウンロードリンクがメールで通知される
  2. 対象マシン上で wingman.exe を実行する
    • wingman.exe -p 0 -ph -s -r -b -bf ".\BrowserHistoryFiles.dat" -e -nj 1000 などと入力する
  3. 抽出結果は実行ファイルと同じ場所に作成される EDR フォルダに edr_data_af_guid.zip といったファイル名で出力される

概要

  • 取得時間:4分程度(前述のオプションの場合)
  • 対応OS:Windows

ドキュメント

パース結果として出力されるファイル(実行結果より)

dep_info.txt
ether_adapter_info.txt
evtlog_security__EventID_4624_.txt
evtlog_security__EventID_4625_.txt
evtlog_security__EventID_4634_.txt
evtlog_security__EventID_4648_.txt
evtlog_security__EventID_4688_.txt
evtlog_security__EventID_4723_.txt
evtlog_security__EventID_4776_.txt
evtlog_security__EventID_4779_.txt
ipconfig.txt
named_objects.txt
routing_table_netstat-r.txt
SCHEDLGU.TXT
schtasks.txt
systeminfo.txt
uac_info.txt
wfp_info.txt
activedata.json
metadata.json
RegistryInfo.json
staticdata_2019-09-01_20-04_41_136.json
staticdata_2019-09-01_20-04_42_556.json
staticdata_2019-09-01_20-04_47_236.json
staticdata_2019-09-01_20-04_52_711.json
など

メモ

他のツールとは取得するファイルの種類が少し異なる印象。出力されるファイル数は多い方。 ブラウザの履歴は設定ファイルがあり、書き換えることで様々なブラウザに対応できそう。 ほぼすべてのファイルが同じフォルダに出力されるのでジャンル別にファイルを探すというのは苦労しそう。


triage-ir

f:id:soji256:20190615205131p:plain
triage-ir

使い方

  1. リリースページ から「TriageIR v.85.zip」をダウンロード
  2. 対象マシン上で Triage Incident Response.exe を実行する
  3. 表示される画面の右下にあるRunをクリックする
    • Sysinternals Toolset をダウンロードしてよいか確認されるので「はい」を選択する
    • Sysinternals Toolset を展開する前にダイアログが表示されるので「OK」を選択する
  4. 抽出結果は実行ファイルと同じ場所に作成される yyyymmddhhMMss - COMPUTERNAME Incident フォルダに出力される

概要

  • 取得時間:5分程度(Sysinternals Toolset のダウンロード時間含む)
  • 対応OS:Windows

ドキュメント

  • 説明書
  • 対応アーティファクト:リストなし

パース結果として出力されるファイル(実行結果より)

ARP Info.txt
Account Details.txt
All Users_JumpList_Auto_Copy.txt
All Users_JumpList_Custom_Copy.txt
All Users_Recent_Copy.txt
Application Log.csv
AutoRun Info.csv
AutoRun Info.txt
DNS Info.txt
Default User_JumpList_Auto_Copy.txt
Default User_JumpList_Custom_Copy.txt
Default User_Recent_Copy.txt
Default_JumpList_Auto_Copy.txt
Default_JumpList_Custom_Copy.txt
Default_Recent_Copy.txt
Directory Info.txt
Disk Mounts.txt
Event Log Copy.txt
Handles.txt
Hostname.txt
IP Info.txt
Incident Log.txt
LocalShares.txt
NBTstat.txt
NTFS Info.txt
Network Connections.txt
Open Shared Files.txt
Prefetch Copy Log.txt
Processes.txt
Public_JumpList_Auto_Copy.txt
Public_JumpList_Custom_Copy.txt
Public_Recent_Copy.txt
Routes.txt
Scheduled Tasks.txt
Security Log.csv
Services.txt
Sessions.txt
Start Up WMI Info.txt
System Info.txt
System Log.csv
System Variables.txt
Volume Info.txt
Workgroup PC Information.txt
Username_JumpList_Auto_Copy.txt
Username_JumpList_Custom_Copy.txt
Username_Recent_Copy.txt

メモ

最新版の TriageIR v.851 では環境によってはうまく動かない場合があった。一部にカンマで区切られていないCSVファイルが出力されることが少し気になった。 実行には Sysinternals Toolset が必要で実行時に不足している場合にはダウンロードが促される。 


IREC(無料版)

f:id:soji256:20190615205432p:plain
IREC - IR Evidence Collector

使い方

  1. リリースページ の「Download Free Edition」をクリック
  2. 必要事項を入力するとダウンロードリンクがメールで通知される
  3. 対象マシン上で IREC-1.8.0.exe を実行する
  4. 表示される画面で「Collect Evidence」が選択されていることを確認してから下側にあるStartをクリックする
  5. 抽出結果は実行ファイルと同じ場所に作成される Case\yyyymmddhhMMss-COMPUTERNAME フォルダに出力される
    • 解析終了時に表示される「Open HTML Report」からレポートを確認できる

概要

  • 取得時間:2分程度
  • 対応OS:Windows

ドキュメント

  • 説明書
  • [対応アーティファクト]:説明書に一部記載されている。

パース結果として出力されるファイル(実行結果より)

Case.html

メモ

結果をHTMLでまとめてもらえる。メモリダンプに加えてページファイルも取得するのが特徴的。 無料版ではMFTのダンプなど一部のデータが取得できない。環境によってうまくHTMLレポートを表示できない場合があった。


Panorama

f:id:soji256:20190615205219p:plain
Panorama

使い方

  1. github の「Download」からダウンロード
  2. 対象マシン上で Panorama.exe を実行する
  3. 表示される画面の右にあるReportをクリックする
  4. 抽出結果は C:/Windows/TEMP/Panorama/Panorama.html に出力される
    • 解析終了時に規定のWebブラウザが自動で立ち上がりHTML形式のレポートが表示される

概要

  • 取得時間:1分程度
  • 対応OS:Windows

ドキュメント

パース結果として出力されるファイル(実行結果より)

FilesPanorama.html
Panorama.html
usbdeview.html

メモ

インシデント用ではなくシステムの各種情報を管理者権限不要でまとめてくれるツール。 結果はHTML形式で見やすくまとめてもらえる。 休止状態にするボタンがあるのが面白い。ただしクリックすると確認なしに休止状態となるので注意が必要。


今回は試さなかったツール

参考文献

付録

2019年 TMCIT × 大和セキュリティ MAIR忍者チャレンジ LT 資料

攻撃されたかのごとく痕跡を刻むツール

扉絵

目次リンク

更新履歴

  • 2019/06/20 新規作成
  • 2019/06/20 PM 実行結果について Windows 環境で確認したものであることを明記。表「実行結果」のページ内リンクに不備があったため削除。IREC の説明書と対応アーティファクトのリンクが誤っていたため修正。
  • 2019/06/21 AM 参考文献のリンク先が誤っていたため修正。結果表の「Panorama」の公式サイトへのリンクが誤っていたのを修正。
  • 2019/07/13 検証ツールとして CyLR を追記。「※5」として補足を追記。
  • 2019/09/01 検証ツールとして DG Wingman を追記。
  • 2019/11/08 「大和セキュリティ MAIR忍者チャレンジ LT 資料」を追記。