CrowdStrike Blog:AutoMacTC - Macのフォレンジックトリアージ自動化ツール公開 | ScanNetSecurity
2024.06.18(火)

CrowdStrike Blog:AutoMacTC - Macのフォレンジックトリアージ自動化ツール公開

CrowdStrikeは、macOSのフォレンジックコミュニティを支援するために、macOSのインシデントレスポンス調査中に分析するアーティファクトを自動解析するスクリプトをリリースし、AutoMacTCを開発しました。

国際 海外情報
AutoMacTCのモジュールと、MITRE ATT&CKフレームワークで定義された最初の5つのTacticのマッピング
AutoMacTCのモジュールと、MITRE ATT&CKフレームワークで定義された最初の5つのTacticのマッピング 全 2 枚 拡大写真
 macOS のインシデントレスポンス( IR )調査の実施は時に困難を伴います。

 それは、インシデントの影響を受けたさまざまなシステムについて、フォレンジックデータを迅速に取得、解析・分析することが難しいためです。このことを認識した CrowdStrike Services チームは、オープンソースのトリアージコレクターユーティリティ「AutoMacTC」を開発しました。このユーティリティは、調査担当者がすばやく関連データを収集して問題に対する答えを見つけ、企業環境内から攻撃者を一掃するうえで役立ちます。

  AutoMacTC ツールは Github のリポジトリ内に公開されています。

AutoMacTC とは何か

 AutoMacTC、または Automated macOS Triage Collector(オートマックティックと発音)は、macOS のフォレンジックアーティファクトを解析し、フォレンジックアナリストが簡単にアクセスして活用できる形式で出力するように設計された python スクリプトのフレームワークです。AutoMacTC は、主にインシデントレスポンスのトリアージとライブデータ収集を念頭に作成されていますが、オフラインでの分析のために(マウントされた)ディスクイメージに対して実行することもできます。

開発背景

 CrowdStrike は、当社のスタティックホストデータ収集ツール「Crowd Response」から着想を得て、macOS のフォレンジックコミュニティを支援するために、macOS のインシデントレスポンス調査中に分析するアーティファクトを自動解析するスクリプトをリリースし、AutoMacTC を開発しました。開発プロセスで最も考慮した点は次のとおりです。

多機能でありながら使い勝手がよい:AutoMacTC は非常に簡単に使用できます。アナリストは、メインスクリプト( automactc.py )とモジュールを含むディレクトリをドロップし、コマンドライン上で automactc.py -m all を実行するだけで、すべてのモジュールを速やかに実行することができます。必要となるアーティファクトは個々のインシデントや IR チームによって異なるため、AutoMacTC では柔軟な設定を可能にしています。アナリストは実行するモジュールを指定したり、モジュールレベルで機能を変更することができます。たとえば、dirlist モジュールでどのディレクトリの一覧を取得するかを指定することも可能です。

分析しやすい:フォレンジックアナリストである私たちは、すぐに分析に着手できるような形でデータを生成してくれるツールが欲しいと思っていました。AutoMacTC はその要望を満たし、各モジュールに対し CSV(または JSON )ファイルを出力します。これらは、表計算ソフトやログアグリゲーターを使用して分析できます。

拡張性に富む:私たちは macOS のフォレンジックが頻繁に変化することを知っています。既存のアーティファクトは変化し、古いアーティファクトが消え去り新しいものが現れます。AutoMacTC は、フォレンジックの環境のように変化に対応することのできるモジュラー型のフレームワークとして作られました。既存のモジュールを更新したり、新しいモジュールを簡単に追加することもできます。

AutoMacTC の役割

 このユーティリティは、メインスクリプト( automactc.py )およびメインスクリプトで呼び出すことのできるモジュールスクリプトで構成されています。各モジュールは、自己完結型の独立した方法で特定のフォレンジックアーティファクトの分析を行います。

 メインスクリプトを呼び出して実行するモジュールを指定すると、AutoMacTC は次の動作を行います。

1. 基本的なシステム情報(ホスト名、シリアルナンバー、ローカルIPアドレス)を収集し、出力ファイルに名前を付ける。

2. 指定したモジュールを実行する。各出力ファイルを自動的にtarアーカイブにまとめて、ファイルシステムの容量を削減する。

3. キューの最後のモジュールが完了したら tar アーカイブを圧縮する。

 現在のモジュールセットが複数のフォレンジックアーティファクトからのデータを収集して解析します。これには以下のものが含まれます。

pslist(AutoMacTC実行時のプロセスリスト)
lsof(AutoMacTC実行時にオープンしているファイルハンドル)
netstat(AutoMacTC実行時のネットワーク接続)
asl(解析済みのAppleシステムログ(.asl)ファイル)
autoruns(各永続化ユニットの場所とplistsの解析)
bash(すべてのユーザーのbash/.*_historyファイルの解析)
chrome(chromeの閲覧履歴とダウンロード履歴の解析)
coreanalytics(Apple診断プログラムで生成したプログラム実行のエビデンスの解析)
dirlist(ディスク全体のファイルとディレクトリのリスト)
firefox(firefoxの閲覧履歴とダウンロード履歴の解析)
installhistory(プログラムのインストール履歴の解析)
mru(SFLとMRUのplistファイルを解析)
quarantines(QuarantineEventsV2データベースの解析)
quicklook(Quicklooksデータベースの解析)
safari(safariの閲覧履歴とダウンロード履歴の解析)
spotlight(ユーザーのSpotlight検索上位の解析)
ssh(各ユーザーのknown_hostsおよびauthorized_keysファイルの解析)
syslog(system.logファイルの解析)
systeminfo(現在のIPアドレス、シリアルナンバー、ホスト名などの基本的なシステムID)
users(システム上の現在のユーザーと削除されたユーザーのリスト)
utmpx(端末上のユーザーセッションのリスト)

使用方法

 AutoMacTC を実行するために必要な追加要件はありません。必要なのは、Python 2.7 のみですが、これは macOS に付属しています。選択したデプロイメントユーティリティを使用すれば、ツールを大規模な環境に展開できます。

 AutoMacTC の具体的な使用例を以下に示します。

・侵害されたシステムへの最初の攻撃経路を特定するために、最近のプロセス実行状況とブラウザーの挙動を確認する。
sudo /usr/bin/python2.7 automactc.py -m chrome firefox safari coreanalytics dirlist quarantines

・macOS環境全体のプロセス実行および永続化に関するアーティファクトを収集して脅威ハンティングに役立てる。
sudo /usr/bin/python2.7 automactc.py -m pslist bash coreanalytics autoruns

・攻撃者によるシステム間のラテラルムーブメントを追跡する。
sudo /usr/bin/python2.7 automactc.py -m netstat asl syslog ssh utmpx

 あるいは、利用できるすべてのモジュールを実行して、できるだけ多くのデータを収集することもできます。

sudo /usr/bin/python2.7 automactc.py -m all

 AutoMacTC では、ローカルにマウントされた macOS ディスクに対してモジュールを実行する機能も提供されています。ただし、この機能を使用するには、分析システムとしての Mac が必要です。AutoMacTC は macOS 以外のオペレーティングシステムでは実行できません。

sudo /usr/bin/python2.7 automactc.py -f -i /Volumes/MOUNTED_DISK_IMAGE -m all
以下の表 1 と表 2 は、AutoMacTC の最初のリリースが(脅威ハンティングおよびインシデントレスポンスのための)MITRE ATT&CK フレームワークにどのように合致するかを示しています。

表1:AutoMacTC のモジュールと、MITRE ATT&CK フレームワークで定義された最初の 5 つの Tactic のマッピング


表2:AutoMacTC のモジュールと、MITRE ATT&CK フレームワークで定義された次の 6 つの Tactic のマッピング


追加のリソース

・CrowdStrikeが提供するインシデントレスポンス、侵害アセスメント、および脅威ハンティングの詳細については、CrowdStrike Servicesのページをご覧になるか、次のアドレスにお問い合わせください。Services@crowdstrike.com

CrowdStrikeの2019年グローバル脅威レポートをダウンロードできます。

2018年 CrowdStrike Servicesサイバーセキュリティ侵害調査報告書をダウンロードして、実世界におけるインシデント対応に関する調査結果をご覧ください。攻撃の詳細と、御社の対策に役立てていただける推奨事項が記載されています。

・CrowdStrikeの次世代型AVをお試しください。Falcon Preventの無料トライアル版をすぐに試してみましょう。


*原文はCrowdStrike Blog サイト掲載 :AutoMacTC: Automating Mac Forensic Triage

《Kshitij Kumar、Jai Musunuri (CrowdStrike)》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 約 30 名の学生がフィッシング被害に ~ 明治薬科大学教員の M365 アカウントに不正アクセス

    約 30 名の学生がフィッシング被害に ~ 明治薬科大学教員の M365 アカウントに不正アクセス

  2. グリコの基幹システム障害、一部商品出荷を 6 / 25 以降再開

    グリコの基幹システム障害、一部商品出荷を 6 / 25 以降再開

  3. イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

    イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

  4. オイレス工業にランサムウェア攻撃、生産活動に影響なし 出荷通常通り

    オイレス工業にランサムウェア攻撃、生産活動に影響なし 出荷通常通り

  5. 役に立たないメール訓練 もうやめません? by Googleセキュリティ担当者

    役に立たないメール訓練 もうやめません? by Googleセキュリティ担当者

  6. ニデックインスツルメンツにランサムウェア攻撃、複数のサーバ内ファイルが暗号化被害

    ニデックインスツルメンツにランサムウェア攻撃、複数のサーバ内ファイルが暗号化被害

  7. KADOKAWA グループ複数サイトで障害、サイバー攻撃の可能性

    KADOKAWA グループ複数サイトで障害、サイバー攻撃の可能性

  8. 米政府、病院 IT システムの自動パッチ適用ツールに 80 億円投入

    米政府、病院 IT システムの自動パッチ適用ツールに 80 億円投入

  9. 実在しないアドレスを使用 ~ 東京大学役員を装った迷惑メールに注意呼びかけ

    実在しないアドレスを使用 ~ 東京大学役員を装った迷惑メールに注意呼びかけ

  10. 日経BP従業員メールアカウントに不正アクセス、33名の個人情報流出の可能性

    日経BP従業員メールアカウントに不正アクセス、33名の個人情報流出の可能性

ランキングをもっと見る