CrowdStrike Blog:AutoMacTC - Macのフォレンジックトリアージ自動化ツール公開 | ScanNetSecurity
2024.03.30(土)

CrowdStrike Blog:AutoMacTC - Macのフォレンジックトリアージ自動化ツール公開

CrowdStrikeは、macOSのフォレンジックコミュニティを支援するために、macOSのインシデントレスポンス調査中に分析するアーティファクトを自動解析するスクリプトをリリースし、AutoMacTCを開発しました。

国際 海外情報
AutoMacTCのモジュールと、MITRE ATT&CKフレームワークで定義された最初の5つのTacticのマッピング
AutoMacTCのモジュールと、MITRE ATT&CKフレームワークで定義された最初の5つのTacticのマッピング 全 2 枚 拡大写真
 macOS のインシデントレスポンス( IR )調査の実施は時に困難を伴います。

 それは、インシデントの影響を受けたさまざまなシステムについて、フォレンジックデータを迅速に取得、解析・分析することが難しいためです。このことを認識した CrowdStrike Services チームは、オープンソースのトリアージコレクターユーティリティ「AutoMacTC」を開発しました。このユーティリティは、調査担当者がすばやく関連データを収集して問題に対する答えを見つけ、企業環境内から攻撃者を一掃するうえで役立ちます。

  AutoMacTC ツールは Github のリポジトリ内に公開されています。

AutoMacTC とは何か

 AutoMacTC、または Automated macOS Triage Collector(オートマックティックと発音)は、macOS のフォレンジックアーティファクトを解析し、フォレンジックアナリストが簡単にアクセスして活用できる形式で出力するように設計された python スクリプトのフレームワークです。AutoMacTC は、主にインシデントレスポンスのトリアージとライブデータ収集を念頭に作成されていますが、オフラインでの分析のために(マウントされた)ディスクイメージに対して実行することもできます。

開発背景

 CrowdStrike は、当社のスタティックホストデータ収集ツール「Crowd Response」から着想を得て、macOS のフォレンジックコミュニティを支援するために、macOS のインシデントレスポンス調査中に分析するアーティファクトを自動解析するスクリプトをリリースし、AutoMacTC を開発しました。開発プロセスで最も考慮した点は次のとおりです。

多機能でありながら使い勝手がよい:AutoMacTC は非常に簡単に使用できます。アナリストは、メインスクリプト( automactc.py )とモジュールを含むディレクトリをドロップし、コマンドライン上で automactc.py -m all を実行するだけで、すべてのモジュールを速やかに実行することができます。必要となるアーティファクトは個々のインシデントや IR チームによって異なるため、AutoMacTC では柔軟な設定を可能にしています。アナリストは実行するモジュールを指定したり、モジュールレベルで機能を変更することができます。たとえば、dirlist モジュールでどのディレクトリの一覧を取得するかを指定することも可能です。

分析しやすい:フォレンジックアナリストである私たちは、すぐに分析に着手できるような形でデータを生成してくれるツールが欲しいと思っていました。AutoMacTC はその要望を満たし、各モジュールに対し CSV(または JSON )ファイルを出力します。これらは、表計算ソフトやログアグリゲーターを使用して分析できます。

拡張性に富む:私たちは macOS のフォレンジックが頻繁に変化することを知っています。既存のアーティファクトは変化し、古いアーティファクトが消え去り新しいものが現れます。AutoMacTC は、フォレンジックの環境のように変化に対応することのできるモジュラー型のフレームワークとして作られました。既存のモジュールを更新したり、新しいモジュールを簡単に追加することもできます。

AutoMacTC の役割

 このユーティリティは、メインスクリプト( automactc.py )およびメインスクリプトで呼び出すことのできるモジュールスクリプトで構成されています。各モジュールは、自己完結型の独立した方法で特定のフォレンジックアーティファクトの分析を行います。

 メインスクリプトを呼び出して実行するモジュールを指定すると、AutoMacTC は次の動作を行います。

1. 基本的なシステム情報(ホスト名、シリアルナンバー、ローカルIPアドレス)を収集し、出力ファイルに名前を付ける。

2. 指定したモジュールを実行する。各出力ファイルを自動的にtarアーカイブにまとめて、ファイルシステムの容量を削減する。

3. キューの最後のモジュールが完了したら tar アーカイブを圧縮する。

 現在のモジュールセットが複数のフォレンジックアーティファクトからのデータを収集して解析します。これには以下のものが含まれます。

pslist(AutoMacTC実行時のプロセスリスト)
lsof(AutoMacTC実行時にオープンしているファイルハンドル)
netstat(AutoMacTC実行時のネットワーク接続)
asl(解析済みのAppleシステムログ(.asl)ファイル)
autoruns(各永続化ユニットの場所とplistsの解析)
bash(すべてのユーザーのbash/.*_historyファイルの解析)
chrome(chromeの閲覧履歴とダウンロード履歴の解析)
coreanalytics(Apple診断プログラムで生成したプログラム実行のエビデンスの解析)
dirlist(ディスク全体のファイルとディレクトリのリスト)
firefox(firefoxの閲覧履歴とダウンロード履歴の解析)
installhistory(プログラムのインストール履歴の解析)
mru(SFLとMRUのplistファイルを解析)
quarantines(QuarantineEventsV2データベースの解析)
quicklook(Quicklooksデータベースの解析)
safari(safariの閲覧履歴とダウンロード履歴の解析)
spotlight(ユーザーのSpotlight検索上位の解析)
ssh(各ユーザーのknown_hostsおよびauthorized_keysファイルの解析)
syslog(system.logファイルの解析)
systeminfo(現在のIPアドレス、シリアルナンバー、ホスト名などの基本的なシステムID)
users(システム上の現在のユーザーと削除されたユーザーのリスト)
utmpx(端末上のユーザーセッションのリスト)

使用方法

 AutoMacTC を実行するために必要な追加要件はありません。必要なのは、Python 2.7 のみですが、これは macOS に付属しています。選択したデプロイメントユーティリティを使用すれば、ツールを大規模な環境に展開できます。

 AutoMacTC の具体的な使用例を以下に示します。

・侵害されたシステムへの最初の攻撃経路を特定するために、最近のプロセス実行状況とブラウザーの挙動を確認する。
sudo /usr/bin/python2.7 automactc.py -m chrome firefox safari coreanalytics dirlist quarantines

・macOS環境全体のプロセス実行および永続化に関するアーティファクトを収集して脅威ハンティングに役立てる。
sudo /usr/bin/python2.7 automactc.py -m pslist bash coreanalytics autoruns

・攻撃者によるシステム間のラテラルムーブメントを追跡する。
sudo /usr/bin/python2.7 automactc.py -m netstat asl syslog ssh utmpx

 あるいは、利用できるすべてのモジュールを実行して、できるだけ多くのデータを収集することもできます。

sudo /usr/bin/python2.7 automactc.py -m all

 AutoMacTC では、ローカルにマウントされた macOS ディスクに対してモジュールを実行する機能も提供されています。ただし、この機能を使用するには、分析システムとしての Mac が必要です。AutoMacTC は macOS 以外のオペレーティングシステムでは実行できません。

sudo /usr/bin/python2.7 automactc.py -f -i /Volumes/MOUNTED_DISK_IMAGE -m all
以下の表 1 と表 2 は、AutoMacTC の最初のリリースが(脅威ハンティングおよびインシデントレスポンスのための)MITRE ATT&CK フレームワークにどのように合致するかを示しています。

表1:AutoMacTC のモジュールと、MITRE ATT&CK フレームワークで定義された最初の 5 つの Tactic のマッピング


表2:AutoMacTC のモジュールと、MITRE ATT&CK フレームワークで定義された次の 6 つの Tactic のマッピング


追加のリソース

・CrowdStrikeが提供するインシデントレスポンス、侵害アセスメント、および脅威ハンティングの詳細については、CrowdStrike Servicesのページをご覧になるか、次のアドレスにお問い合わせください。Services@crowdstrike.com

CrowdStrikeの2019年グローバル脅威レポートをダウンロードできます。

2018年 CrowdStrike Servicesサイバーセキュリティ侵害調査報告書をダウンロードして、実世界におけるインシデント対応に関する調査結果をご覧ください。攻撃の詳細と、御社の対策に役立てていただける推奨事項が記載されています。

・CrowdStrikeの次世代型AVをお試しください。Falcon Preventの無料トライアル版をすぐに試してみましょう。


*原文はCrowdStrike Blog サイト掲載 :AutoMacTC: Automating Mac Forensic Triage

《Kshitij Kumar、Jai Musunuri (CrowdStrike)》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  2. ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

    ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

  3. プロ e スポーツ選手のアカウントにハッキング

    プロ e スポーツ選手のアカウントにハッキング

  4. 日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

    日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

  5. 総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

    総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

  6. 脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術

    脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術PR

  7. 時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

    時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

  8. 早稲田スポーツ新聞会のホームページがウイルス感染、意図せずファイルがダウンロードされる被害

    早稲田スポーツ新聞会のホームページがウイルス感染、意図せずファイルがダウンロードされる被害

  9. Meta 社へ申請するも復旧困難と判断、乗っ取り被害の「池袋エリアプラットフォーム」の Facebook ページ削除

    Meta 社へ申請するも復旧困難と判断、乗っ取り被害の「池袋エリアプラットフォーム」の Facebook ページ削除

  10. Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

    Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

ランキングをもっと見る