最近のインシデントレスポンス業務において、FortiGuard IR サービスは、高度なランサムウェア攻撃に対応しました。この攻撃では、脅威アクターが高度なアンチフォレンジック技術を用いて、自らのデジタルフットプリントを消去していました。
攻撃者はマルウェアを削除し、ログを消去し、ツールを難読化して解析を妨害しました。
しかし、FortiGuard の研究者は重大な発見をしました。削除されたマルウェアや攻撃者ツールの過去の証拠が、AutoLogger-Diagtrack-Listener.etl と呼ばれる、あまり知られていない Windows ETL ファイル内に隠れて残っていたのです。これは、Windows Event Tracing for Windows (ETW) インフラストラクチャによって生成されるテレメトリアーティファクトです。
Event Tracing for Windows は、Windows に組み込まれた高性能なログ記録フレームワークであり、システムへの負荷を最小限に抑えつつ、詳細なイベント記録を可能にします。
従来のプレーンテキストログとは異なり、ETW はカーネル、TCP/IP スタック、レジストリなどのプロバイダからの構造化イベントデータを使用し、それらが ETW セッションに供給されます。
これらのセッションは、リアルタイムで消費されるためにデータをバッファリングするか、後から解析するためにバイナリ形式の Event Trace Log (ETL) ファイルに書き込むことができます。
ETW のアーキテクチャは、3 つの主要コンポーネントで構成されています。プロバイダ(イベントソース)、コントローラ(logman などのツールを通じてセッションを管理)、コンシューマ(EDR、デバッガ、イベントビューア)です。
最新のエンドポイント検出・応答ツールは、この機能を活用し、リアルタイムの振る舞い監視のために ETW プロバイダに直接サブスクライブしています。
通常、%ProgramData%\Microsoft\Diagnosis\ETLLogs\AutoLogger に保存される AutoLogger-Diagtrack-Listener.etl ファイルは、Connected User Experiences and Telemetry (DiagTrack) サービスからのテレメトリを記録します。
このファイルの作成は、DiagTrack サービスが有効化され、診断データを収集しているかどうかに依存します。
テレメトリログの詳細度は AllowTelemetry レジストリキーで設定でき、4 つのレベルがあります。Security(0 サーバーのデフォルト)、Basic(1 最小限の収集)、Enhanced(2 非推奨)、Full(3 完全な取得)です。デフォルト設定は 0x1 であり、この設定では ETL ファイルが作成されることはほとんどありません。
重要なフォレンジック上の発見
ディスクイメージ解析の過程で、FortiGuard の研究者は KernelProcess → ProcessStarted ストリーム内に、プロセス作成イベントを特定しました。そこには、過去に実行されたバイナリのコマンドライン詳細を含む、価値の高い履歴データが保持されていました。
このブレイクスルーにより、調査員は削除されたマルウェアやツールの証拠を抽出することができました。その中には、GMER(gomer.exe にリネームされていた)や、脅威アクターが削除しようとした悪意あるバッチファイルも含まれていました。
ファイルがどのような条件で実際にデータで満たされるのかを正確に理解するため、FortiGuard は Windows Server 2022 および Windows 11 システム上で制御された実験を行いました。
取得された ETW イベントには、プロセス ID、親プロセス ID、セッション ID、実行ファイルパス、コマンドライン引数、ユーザーセキュリティ識別子、パッケージ情報といった、フォレンジック上重要な詳細が記録されていました。
これらのフィールドは、意図的な削除が行われていたにもかかわらず、攻撃者の実行チェーンを再構築するうえで非常に有用であることが証明されました。
研究者たちは、AllowTelemetry レジストリキーを最大の詳細度レベル(3 Full)に設定し、logman コマンドを使用して AutoLogger-Diagtrack-Listener ETW セッションを開始・更新しました。報告されています。
実行とファイル作成自体は成功したにもかかわらず、生成された ETL は内容が書き込まれないままでした。これは、DiagTrack サービスが非公開の内部トリガーを通じてファイルの内容を制御していることを示唆しています。
この未解明の挙動は、セキュリティコミュニティにとって課題であると同時に機会でもあります。
一貫してファイルが内容で満たされる条件は依然として不明なものの、この発見は、AutoLogger-Diagtrack-Listener.etl が適切に内容が記録されている場合、意図的な削除を生き延びたプロセス実行の痕跡を明らかにしうる、重要なフォレンジックアーティファクトとなり得ることを示しています。
Fortinet の防御戦略
Fortinet の統合セキュリティファブリックは、複数のレイヤーを通じてこのような攻撃に対抗します。FortiEDR はカーネルレベルのエンドポイント監視を提供し、不正なプロセス起動や名前を変更された管理ツールをリアルタイムで検知します。
FortiAnalyzer および FortiSIEM は、ETW データを含むネイティブな Windows テレメトリを取り込み、エンタープライズ環境全体で疑わしいイベントを相関分析します。
FortiGuard 脅威インテリジェンスは、リアルタイムのアップデートによって検知を継続的に強化し、新たなマルウェア亜種や回避技術が認識・ブロックされるようにします。
Fortinet の統合プラットフォームを活用する組織は、ネットワーク、エンドポイント、テレメトリソース全体にわたる包括的な可視性を獲得し、高度なアンチフォレンジック攻撃に対抗するために必要なフォレンジックの深度を得ることができます。
翻訳元: https://gbhackers.com/fortiguard-team/
