それは、インシデントの影響を受けたさまざまなシステムについて、フォレンジックデータを迅速に取得、解析・分析することが難しいためです。このことを認識した CrowdStrike Services チームは、オープンソースのトリアージコレクターユーティリティ「AutoMacTC」を開発しました。このユーティリティは、調査担当者がすばやく関連データを収集して問題に対する答えを見つけ、企業環境内から攻撃者を一掃するうえで役立ちます。
AutoMacTC ツールは Github のリポジトリ内に公開されています。
AutoMacTC とは何か
AutoMacTC、または Automated macOS Triage Collector(オートマックティックと発音)は、macOS のフォレンジックアーティファクトを解析し、フォレンジックアナリストが簡単にアクセスして活用できる形式で出力するように設計された python スクリプトのフレームワークです。AutoMacTC は、主にインシデントレスポンスのトリアージとライブデータ収集を念頭に作成されていますが、オフラインでの分析のために(マウントされた)ディスクイメージに対して実行することもできます。
開発背景
CrowdStrike は、当社のスタティックホストデータ収集ツール「Crowd Response」から着想を得て、macOS のフォレンジックコミュニティを支援するために、macOS のインシデントレスポンス調査中に分析するアーティファクトを自動解析するスクリプトをリリースし、AutoMacTC を開発しました。開発プロセスで最も考慮した点は次のとおりです。
・多機能でありながら使い勝手がよい:AutoMacTC は非常に簡単に使用できます。アナリストは、メインスクリプト( automactc.py )とモジュールを含むディレクトリをドロップし、コマンドライン上で automactc.py -m all を実行するだけで、すべてのモジュールを速やかに実行することができます。必要となるアーティファクトは個々のインシデントや IR チームによって異なるため、AutoMacTC では柔軟な設定を可能にしています。アナリストは実行するモジュールを指定したり、モジュールレベルで機能を変更することができます。たとえば、dirlist モジュールでどのディレクトリの一覧を取得するかを指定することも可能です。
・分析しやすい:フォレンジックアナリストである私たちは、すぐに分析に着手できるような形でデータを生成してくれるツールが欲しいと思っていました。AutoMacTC はその要望を満たし、各モジュールに対し CSV(または JSON )ファイルを出力します。これらは、表計算ソフトやログアグリゲーターを使用して分析できます。
・拡張性に富む:私たちは macOS のフォレンジックが頻繁に変化することを知っています。既存のアーティファクトは変化し、古いアーティファクトが消え去り新しいものが現れます。AutoMacTC は、フォレンジックの環境のように変化に対応することのできるモジュラー型のフレームワークとして作られました。既存のモジュールを更新したり、新しいモジュールを簡単に追加することもできます。
AutoMacTC の役割
このユーティリティは、メインスクリプト( automactc.py )およびメインスクリプトで呼び出すことのできるモジュールスクリプトで構成されています。各モジュールは、自己完結型の独立した方法で特定のフォレンジックアーティファクトの分析を行います。
メインスクリプトを呼び出して実行するモジュールを指定すると、AutoMacTC は次の動作を行います。
1. 基本的なシステム情報(ホスト名、シリアルナンバー、ローカルIPアドレス)を収集し、出力ファイルに名前を付ける。
2. 指定したモジュールを実行する。各出力ファイルを自動的にtarアーカイブにまとめて、ファイルシステムの容量を削減する。
3. キューの最後のモジュールが完了したら tar アーカイブを圧縮する。
現在のモジュールセットが複数のフォレンジックアーティファクトからのデータを収集して解析します。これには以下のものが含まれます。
・pslist(AutoMacTC実行時のプロセスリスト)
・lsof(AutoMacTC実行時にオープンしているファイルハンドル)
・netstat(AutoMacTC実行時のネットワーク接続)
・asl(解析済みのAppleシステムログ(.asl)ファイル)
・autoruns(各永続化ユニットの場所とplistsの解析)
・bash(すべてのユーザーのbash/.*_historyファイルの解析)
・chrome(chromeの閲覧履歴とダウンロード履歴の解析)
・coreanalytics(Apple診断プログラムで生成したプログラム実行のエビデンスの解析)
・dirlist(ディスク全体のファイルとディレクトリのリスト)
・firefox(firefoxの閲覧履歴とダウンロード履歴の解析)
・installhistory(プログラムのインストール履歴の解析)
・mru(SFLとMRUのplistファイルを解析)
・quarantines(QuarantineEventsV2データベースの解析)
・quicklook(Quicklooksデータベースの解析)
・safari(safariの閲覧履歴とダウンロード履歴の解析)
・spotlight(ユーザーのSpotlight検索上位の解析)
・ssh(各ユーザーのknown_hostsおよびauthorized_keysファイルの解析)
・syslog(system.logファイルの解析)
・systeminfo(現在のIPアドレス、シリアルナンバー、ホスト名などの基本的なシステムID)
・users(システム上の現在のユーザーと削除されたユーザーのリスト)
・utmpx(端末上のユーザーセッションのリスト)
使用方法
AutoMacTC を実行するために必要な追加要件はありません。必要なのは、Python 2.7 のみですが、これは macOS に付属しています。選択したデプロイメントユーティリティを使用すれば、ツールを大規模な環境に展開できます。
AutoMacTC の具体的な使用例を以下に示します。
・侵害されたシステムへの最初の攻撃経路を特定するために、最近のプロセス実行状況とブラウザーの挙動を確認する。
sudo /usr/bin/python2.7 automactc.py -m chrome firefox safari coreanalytics dirlist quarantines
・macOS環境全体のプロセス実行および永続化に関するアーティファクトを収集して脅威ハンティングに役立てる。
sudo /usr/bin/python2.7 automactc.py -m pslist bash coreanalytics autoruns
・攻撃者によるシステム間のラテラルムーブメントを追跡する。
sudo /usr/bin/python2.7 automactc.py -m netstat asl syslog ssh utmpx
あるいは、利用できるすべてのモジュールを実行して、できるだけ多くのデータを収集することもできます。
sudo /usr/bin/python2.7 automactc.py -m all
AutoMacTC では、ローカルにマウントされた macOS ディスクに対してモジュールを実行する機能も提供されています。ただし、この機能を使用するには、分析システムとしての Mac が必要です。AutoMacTC は macOS 以外のオペレーティングシステムでは実行できません。
sudo /usr/bin/python2.7 automactc.py -f -i /Volumes/MOUNTED_DISK_IMAGE -m all
以下の表 1 と表 2 は、AutoMacTC の最初のリリースが(脅威ハンティングおよびインシデントレスポンスのための)MITRE ATT&CK フレームワークにどのように合致するかを示しています。
追加のリソース
・CrowdStrikeが提供するインシデントレスポンス、侵害アセスメント、および脅威ハンティングの詳細については、CrowdStrike Servicesのページをご覧になるか、次のアドレスにお問い合わせください。Services@crowdstrike.com
・CrowdStrikeの2019年グローバル脅威レポートをダウンロードできます。
・2018年 CrowdStrike Servicesサイバーセキュリティ侵害調査報告書をダウンロードして、実世界におけるインシデント対応に関する調査結果をご覧ください。攻撃の詳細と、御社の対策に役立てていただける推奨事項が記載されています。
・CrowdStrikeの次世代型AVをお試しください。Falcon Preventの無料トライアル版をすぐに試してみましょう。
*原文はCrowdStrike Blog サイト掲載 :AutoMacTC: Automating Mac Forensic Triage
![[インタビュー] 転換期にあるエンドポイントセキュリティに 4 つのテクノロジーで価値を提供(CrowdStrike Japan) 画像](/imgs/p/2w5IdCqve0mMIzS4K5kC-28IDAerBQQDAgEA/26430.jpg)
