ブログ(脅威調査)

Windows10圧縮メモリ内で不正な活動を検出する 第1部:VolatiltyとRekallツール

デジタル・フォレンジック担当者、インシデント対応担当者、メモリ・マネージャーを使用するみなさまに連絡します。Windows10イメージから不正な活動を抽出するために、気が付くとお客様の現場で24時間体制で作業していた経験がありますか?プロセス・ツリーの表示やカーネル・モジュールの列挙など、最初のステップで壁にぶち当たったことは?さらに悪いことに、不正な活動をまったく見つけることができなかったと、経営幹部レベルに報告しなければならなかったことは?もう心配ありません。FLAREが対応しました。FireEye FLAREチームはWindows 10を解析し、すぐに使用できるように、調査の成果をVolatilityRekallツールに統合しました!

2013年8月まで、あなたは熟練したコンサルタントとして、すべてが順調でした。ツールは期待通りに動作し、フォレンジック調査を迅速に行うことができました。Windows 8.1での変更によって、私たちがよく知っている使い慣れたツールが使えなくなり始めましたが、ほとんどの企業がWindows 7を使い続けていたので、この機能停止はほとんど気づかれませんでした。現在、企業環境ではかつてないほどのスピードでWindows 10イメージの導入が進んでいますが、今までのフォレンジック・ツールは使えないままです。

このブログ記事は、Windows 10のメモリ・フォレンジック調査について解説する、3部構成の第1部です。この記事は、SANS DFIR Austin 2019でのOmar SardarおよびBlaine Stancillによるプレゼンテーションと同じ内容で、FLAREによるVolatilityおよびRekallのアップデートの紹介を目的にしています。第2部は、BlackHat USA 2019でのプレゼンテーションと同じ内容で、Omar SardarとDimiter AndonovがWindows 10メモリ・マネージャの核心部分を掘り下げる予定です。最後の記事は、カーネルを自分で解析しようとするエンジニアへのガイドを提供する予定です。

概要

従来、Windowsメモリの解析においてフォレンジック・ツールは物理メモリのみを解析し、欠落した部分はページファイルから補完していました。MicrosoftはWindows 8.1で、メモリ圧縮と、圧縮メモリを保存するように設計された新しいVirtual Storeを採用し、これまでの方法論を一変させました。現在のツールは、ディスク上の従来のページファイルなら問題なく検査できますが、Virtual Storeは、ドキュメントが公開されていないこととデータ圧縮が原因の難題を引き起こします。

Windows 10上で、より完全なメモリ解析を可能にするため、FireEye FLAREチームはOSのメモリ・マネージャーのほか、圧縮メモリを取り出すために使用されるアルゴリズムと構造を解析しました。目的のメモリは、Store Managerカーネル・コンポーネントによって作成されたVirtual Storeに保存されます。Store Managerは、SuperFetch、ReadyBoost、ReadyDriveを含むパフォーマンス最適化システムに関与するデータを管理します。この場合、Virtual StoreはRAM上のエンティティで、プロセスが所有する圧縮データのためにMemCompression.exeが保持する領域を活用します。この調査の成果は、セキュリティ関係者のために、VolatilityおよびRakallの両方に移植されました。

今すぐ入手

VolatilityRekallはGitHubから入手できます。リポジトリをダウンロードまたはクローン化したら、GitHubの各READMEページにあるインストール手順に従ってインストールし、不正な活動の検索を開始してください!

結論

Windows 10のメモリ圧縮は、メモリ・マネージャーの設計において大きな進化であり、物理メモリをより効率的に使用することによってシステム・パフォーマンスを向上します。その代償は、現在のところ公式にドキュメント化されておらず、より複雑なメモリ管理システムの仕組みがわからないことです。これまで、VolatilityとRekallは、圧縮されたページに格納されているメモリを検査できなかったため、不正なプログラムが侵入しても、フォレンジック・データが検出されませんでした。FireEye FLAREチームは、VolatilityとRekallのアップデート、加えてSANS DIFR(Finding Evil in Windows 10 Compressed Memory)BlackHat USA 2019でのプレゼンテーションを通して、Windows 10圧縮メモリに対する知識と技術的なギャップが埋められることを願っています。ぜひBlackHatにお越しいただき、お客様のご意見をお聞かせください。また、FireEyeの研究の結果として、これらのフレームワークがどのように発展していくのかを非常に楽しみにしています!「Windows10圧縮メモリ内で不正な活動を検出する」シリーズの第2部をどうぞご期待ください。

本ブログは、米FireEyeが公開した「Finding Evil in Windows 10 Compressed Memory, Part One: Volatility and Rekall Tools」の要約版です。技術詳細を含むブログ全文(英語)は次のリンクをご参照ください。

https://www.fireeye.com/blog/threat-research/2019/07/finding-evil-in-windows-ten-compressed-memory-part-one.html