Beranda>Terkait pemrograman>Kode sumber lainnya
Unduh

Cari dan berburu dengan cepat melalui artefak forensik Windows

Chainsaw memberikan kemampuan 'respons pertama' yang kuat untuk dengan cepat mengidentifikasi ancaman dalam artefak forensik Windows seperti log peristiwa dan file MFT. Chainsaw menawarkan metode generik dan cepat untuk mencari melalui log peristiwa untuk kata kunci, dan dengan mengidentifikasi ancaman menggunakan dukungan bawaan untuk aturan deteksi sigma, dan melalui aturan deteksi chainsaw khusus.

Fitur

  • Berburu ancaman menggunakan aturan deteksi sigma dan aturan deteksi gergaji khusus
  • ? Cari dan ekstrak artefak forensik dengan pencocokan string, dan pola regex
  • ? Buat jadwal eksekusi dengan menganalisis artefak shimcache dan memperkaya mereka dengan data AMCACHE
  • Menganalisis database SRUM dan memberikan wawasan tentang hal itu
  • Buang konten mentah artefak forensik (MFT, sarang registri, database ESE)
  • ⚡ Lightning Fast, ditulis dengan karat, membungkus pustaka EVTX Parser oleh @obenamram
  • ? Format eksekusi dan output yang bersih dan ringan tanpa kembung yang tidak perlu
  • Tagging dokumen (pencocokan logika deteksi) yang disediakan oleh Perpustakaan Mesin Tau
  • ? Output menghasilkan berbagai format, seperti format tabel ASCII, format CSV, dan format JSON
  • Dapat dijalankan di macOS, linux dan windows

Daftar isi

  • Fitur
  • Mengapa gergaji?
  • Hunting Logic untuk Log Acara Windows
  • Panduan Mulai Cepat
    • Mengunduh dan menjalankan
    • Instal/Bangun dengan Nix
    • EDR dan AV Peringatan
    • Apa yang berubah di chainsaw v2
  • Contoh
    • Pencarian
    • Memburu
    • Analisa
      • Shimcache
      • SRUM (Sistem Sumber Daya Penggunaan Monitor)
    • Dumping
  • Ucapan Terima Kasih

Informasi yang diperluas dapat ditemukan di wiki untuk alat ini: https://github.com/withsecurelabs/chainsaw/wiki

Mengapa gergaji?

Di Withsecure Countercept, kami menelan berbagai sumber telemetri dari titik akhir melalui agen EDR kami untuk memberikan layanan deteksi dan respons yang dikelola. Namun, ada keadaan di mana kita perlu dengan cepat menganalisis artefak forensik yang belum ditangkap oleh EDR kami, contoh umum adalah investigasi respons insiden di sebuah perkebunan di mana EDR kami tidak dipasang pada saat kompromi. Chainsaw diciptakan untuk memberikan pemburu ancaman dan konsultan respons insiden kami dengan alat untuk melakukan triase cepat artefak forensik dalam keadaan ini.

Log Acara Windows

Log acara Windows memberikan sumber informasi forensik yang kaya untuk penyelidikan perburuan ancaman dan respons insiden. Sayangnya, pemrosesan dan pencarian melalui log peristiwa dapat menjadi proses yang lambat dan memakan waktu, dan dalam kebanyakan kasus memerlukan overhead infrastruktur di sekitarnya-seperti stack rusa atau instance splunk-untuk berburu secara efisien melalui data log dan menerapkan logika deteksi. Overhead ini sering berarti bahwa tim biru tidak dapat dengan cepat triase log peristiwa windows untuk memberikan arah dan kesimpulan yang diperlukan untuk memajukan penyelidikan mereka. Chainsaw memecahkan masalah karena memungkinkan pencarian cepat dan berburu melalui log acara Windows.

Pada saat penulisan, ada sangat sedikit alat open-source, mandiri yang menyediakan metode sederhana dan cepat untuk triaging log peristiwa Windows, mengidentifikasi elemen-elemen menarik di dalam log dan menerapkan format aturan logika deteksi (seperti Sigma) untuk mendeteksi tanda-tanda aktivitas jahat. Dalam pengujian kami, alat -alat yang ada berjuang untuk secara efisien menerapkan logika deteksi ke volume besar log peristiwa yang membuatnya tidak cocok untuk skenario di mana triase cepat diperlukan.

Hunting Logic untuk Log Acara Windows

Pencocokan aturan sigma

Menggunakan parameter --sigma dan --mapping Anda dapat menentukan direktori yang berisi subset aturan deteksi sigma (atau hanya seluruh repo Sigma Git) dan chainsaw akan secara otomatis memuat, mengonversi, dan menjalankan aturan ini terhadap log peristiwa yang disediakan. File pemetaan memberi tahu chainsaw mana bidang di log acara untuk digunakan untuk pencocokan aturan. Secara default, chainsaw mendukung berbagai jenis log acara, termasuk tetapi tidak terbatas pada:

Jenis acara ID Acara
Pembuatan Proses (Sysmon) 1
Koneksi Jaringan (Sysmon) 3
Image Loads (Sysmon) 7
Pembuatan File (Sysmon) 11
Acara Pendaftaran (Sysmon) 13
Blok Skrip PowerShell 4104
Penciptaan proses 4688
Penciptaan tugas yang dijadwalkan 4698
Pembuatan Layanan 7045

Lihat file pemetaan untuk daftar lengkap bidang yang digunakan untuk deteksi aturan, dan jangan ragu untuk memperluasnya ke kebutuhan Anda.

Aturan deteksi gergaji

Selain mendukung aturan Sigma, chainsaw juga mendukung format aturan khusus. Di repositori Anda akan menemukan direktori rules yang berisi berbagai aturan gergaji yang memungkinkan pengguna untuk:

  1. Ekstrak dan Parse Windows Defender, F-Secure, Sophos, dan Kaspersky AV Alerts
  2. Mendeteksi log peristiwa kunci yang sedang dibersihkan, atau layanan log peristiwa dihentikan
  3. Pengguna sedang dibuat atau ditambahkan ke grup pengguna yang sensitif
  4. Login jarak jauh (Layanan, RDP, jaringan dll.) Acara. Ini membantu pemburu untuk mengidentifikasi sumber gerakan lateral
  5. Brute-force dari akun pengguna lokal

Panduan Mulai Cepat

Mengunduh dan menjalankan

Dengan rilis Chainsaw V2, kami memutuskan untuk tidak lagi menyertakan aturan Sigma dan repositori evtx-attack-samples sebagai submodula gergaji. Kami menyarankan Anda mengkloning repositori ini secara terpisah untuk memastikan Anda memiliki versi terbaru.

Jika Anda masih memerlukan paket all-in-one yang berisi biner chainsaw, aturan sigma dan contoh log peristiwa, Anda dapat mengunduhnya dari bagian rilis repo github ini. Di bagian rilis ini Anda juga akan menemukan versi chainsaw versi biner-khusus yang telah dikompilasi untuk berbagai platform dan arsitektur.

Jika Anda ingin mengkompilasi gergaji sendiri, Anda dapat mengkloning repo gergaji:

git clone https://github.com/WithSecureLabs/chainsaw.git

dan menyusun kode sendiri dengan menjalankan: cargo build --release . Setelah build selesai, Anda akan menemukan salinan biner yang dikompilasi di folder target/rilis.

Pastikan untuk membangun dengan bendera --release karena ini akan memastikan waktu eksekusi yang lebih cepat secara signifikan.

Jika Anda ingin dengan cepat melihat seperti apa chainsaw ketika berjalan, Anda dapat mengkloning aturan sigma dan repositori evtx-attack-samples: 

 git clone https://github.com/SigmaHQ/sigma
git clone https://github.com/sbousseaden/EVTX-ATTACK-SAMPLES.git

dan kemudian jalankan chainsaw dengan parameter di bawah ini: 

 ./chainsaw hunt EVTX-ATTACK-SAMPLES/ -s sigma/ --mapping mappings/sigma-event-logs-all.yml

Instal/Bangun dengan Nix 

 ├───devShells
│   └───x86_64-linux
│       └───default: development environment 'nix-shell'
├───formatter
│   └───x86_64-linux: package 'alejandra-3.1.0'
└───packages
    └───x86_64-linux
        ├───chainsaw: package 'chainsaw-2.10.1'
        └───default: package 'chainsaw-2.10.1'

Chainsaw, sebagai paket, tersedia melalui NIXPKGS. Jika Anda menggunakan NIXOS, cukup tambahkan chainsaw ke file konfigurasi sistem Anda.

Namun, jika Anda tidak menggunakan Nixos, Anda masih dapat menginstal chainsaw melalui NIX. Cara yang direkomendasikan adalah melalui nix-shell , yang sementara akan memodifikasi variabel lingkungan $ Path Anda. Untuk melakukannya, silakan jalankan yang berikut: 

 nix-shell -p chainsaw

Anda juga dapat memanfaatkan fakta, bahwa repo ini adalah serpihan, dan Anda dapat menjalankan yang berikut: 

 nix profile install github:WithSecureLabs/chainsaw

Namun, jika Anda ingin membangun gergaji sendiri, menggunakan Nix, Anda dapat sekali lagi menggunakan flake.nix , yang disediakan dengan repositori ini. Untuk membangun biner, silakan jalankan yang berikut, di root dir repo kloning 

 nix build .#

Ini akan membuat direktori ./result , dengan Biner Chainsaw yang terletak di bawah ./result/bin/chainsaw .

EDR dan AV Peringatan

Saat mengunduh dan menjalankan chainsaw, Anda mungkin menemukan bahwa mesin EDR / antivirus lokal Anda mendeteksi chainsaw sebagai berbahaya. Anda dapat melihat contoh ini dalam masalah gitub berikut: Contoh1, Contoh2.

Peringatan ini biasanya disebabkan oleh contoh log peristiwa dan/atau aturan sigma yang berisi referensi untuk string jahat (misalnya "mimikatz"). Kami juga telah melihat contoh di mana biner gergaji telah terdeteksi oleh sebagian kecil mesin anti-virus kemungkinan karena beberapa bentuk deteksi heuristik.

Apa yang berubah di chainsaw v2?

Pada Juli 2022 kami merilis versi 2 dari Chainsaw yang merupakan perombakan besar tentang bagaimana chainsaw beroperasi. Chainsaw V2 berisi beberapa perbaikan signifikan, termasuk daftar sorotan berikut:

  • Pendekatan yang ditingkatkan untuk memetakan aturan sigma yang menghasilkan peningkatan yang signifikan dalam jumlah aturan gergaji yang didukung, dan jenis acara log peristiwa.
  • Output CLI yang ditingkatkan yang menunjukkan snapshot dari semua data acara untuk log peristiwa yang berisi deteksi.
  • Dukungan untuk memuat dan parsing log acara dalam format JSON dan XML.
  • Argumen baris perintah yang lebih bersih dan lebih sederhana untuk perburuan dan fitur pencarian.
  • Informasi output opsional tambahan, seperti penulis aturan, status aturan, level aturan dll.
  • Kemampuan untuk memfilter aturan yang dimuat berdasarkan status, jenis, dan tingkat keparahan.
  • Aturan deteksi chainsaw inbuilt telah dipecah menjadi file peraturan chainsaw khusus
  • Tulisan kode chainsaw yang bersih dan jelas untuk meningkatkan keterbacaan dan untuk mengurangi overhead untuk kontribusi masyarakat.

Jika Anda masih ingin menggunakan versi 1 Chainsaw, Anda dapat menemukan binari yang dikompilasi di bagian rilis, atau Anda dapat mengakses kode sumber di cabang v1.xx. Harap dicatat bahwa Chainsaw V1 tidak lagi dipertahankan, dan semua pengguna harus berupaya pindah ke Chainsaw V2.

Terima kasih banyak kepada @Alexkornitzer yang berhasil mengonversi basis kode "Christmas Project" Chainsaw V1 menjadi produk yang dipoles di V2.

Contoh

Pencarian 

  USAGE:
      chainsaw search [FLAGS] [OPTIONS] <pattern> [--] [path]...

  FLAGS:
      -h, --help            Prints help information
      -i, --ignore-case     Ignore the case when searching patterns
          --json            Print the output in json format
          --load-unknown    Allow chainsaw to try and load files it cannot identify
          --local           Output the timestamp using the local machine's timestamp
      -q                    Suppress informational output
          --skip-errors     Continue to search when an error is encountered
      -V, --version         Prints version information

  OPTIONS:
          --extension <extension>...    Only search through files with the provided extension
          --from <from>                 The timestamp to search from. Drops any documents older than the value provided
      -o, --output <output>             The path to output results to
      -e, --regex <pattern>...          A string or regular expression pattern to search for
      -t, --tau <tau>...                Tau expressions to search with. e.g. 'Event.System.EventID: =4104'
          --timestamp <timestamp>       The field that contains the timestamp
          --timezone <timezone>         Output the timestamp using the timezone provided
          --to <to>                     The timestamp to search up to. Drops any documents newer than the value provided

  ARGS:
      <pattern>    A string or regular expression pattern to search for. Not used when -e or -t is specified
      <path>...    The paths containing event logs to load and hunt through

Contoh Perintah

Cari semua file .evtx untuk string case-sensitif "mimikatz" 

 ./chainsaw search mimikatz -i evtx_attack_samples/

*Cari semua file .evtx untuk acara blok skrip PowerShell (ID acara 4014) 

 ./chainsaw search -t 'Event.System.EventID: =4104' evtx_attack_samples/

Cari log EVTX spesifik untuk acara logon, dengan pola regex yang cocok, output dalam format JSON 

 ./chainsaw search -e "DC[0-9].insecurebank.local" evtx_attack_samples --json

Memburu 

  USAGE:
      chainsaw hunt [FLAGS] [OPTIONS] [--] [path]...

  FLAGS:
          --csv             Print the output in csv format
          --full            Print the full values for the tabular output
      -h, --help            Prints help information
          --json            Print the output in json format
          --load-unknown    Allow chainsaw to try and load files it cannot identify
          --local           Output the timestamp using the local machine's timestamp
          --log             Print the output in log like format
          --metadata        Display additional metadata in the tablar output
      -q                    Suppress informational output
          --skip-errors     Continue to hunt when an error is encountered
      -V, --version         Prints version information

  OPTIONS:
          --column-width <column-width>    Set the column width for the tabular output
          --extension <extension>...       Only hunt through files with the provided extension
          --from <from>                    The timestamp to hunt from. Drops any documents older than the value provided
          --kind <kind>...                 Restrict loaded rules to specified kinds
          --level <level>...               Restrict loaded rules to specified levels
      -m, --mapping <mapping>...           A mapping file to tell Chainsaw how to use third-party rules
      -o, --output <output>                A path to output results to
      -r, --rule <rule>...                 A path containing additional rules to hunt with
      -s, --sigma <sigma>...               A path containing Sigma rules to hunt with
          --status <status>...             Restrict loaded rules to specified statuses
          --timezone <timezone>            Output the timestamp using the timezone provided
          --to <to>                        The timestamp to hunt up to. Drops any documents newer than the value provided

  ARGS:
      <rules>      The path to a collection of rules to use for hunting
      <path>...    The paths containing event logs to load and hunt through

Contoh Perintah

Berburu melalui semua file EVTX menggunakan aturan sigma untuk logika deteksi 

 ./chainsaw hunt evtx_attack_samples/ -s sigma/ --mapping mappings/sigma-event-logs-all.yml

Berburu melalui semua file EVTX menggunakan aturan sigma dan aturan gergaji untuk logika dan output deteksi dalam format CSV ke folder hasil 

 ./chainsaw hunt evtx_attack_samples/ -s sigma/ --mapping mappings/sigma-event-logs-all.yml -r rules/ --csv --output results

Berburu melalui semua file EVTX menggunakan aturan sigma untuk logika deteksi, hanya pencarian di antara cap waktu tertentu, dan output hasil dalam format JSON 

 ./chainsaw hunt evtx_attack_samples/ -s sigma/ --mapping mappings/sigma-event-logs-all.yml --from "2019-03-17T19:09:39" --to "2019-03-17T19:09:50" --json

Keluaran 

 $ ./chainsaw hunt -r rules/ evtx_attack_samples -s sigma/rules --mapping mappings/sigma-event-logs-all.yml --level critical

     ██████╗██╗  ██╗ █████╗ ██╗███╗   ██╗███████╗ █████╗ ██╗    ██╗
    ██╔════╝██║  ██║██╔══██╗██║████╗  ██║██╔════╝██╔══██╗██║    ██║
    ██║     ███████║███████║██║██╔██╗ ██║███████╗███████║██║ █╗ ██║
    ██║     ██╔══██║██╔══██║██║██║╚██╗██║╚════██║██╔══██║██║███╗██║
    ╚██████╗██║  ██║██║  ██║██║██║ ╚████║███████║██║  ██║╚███╔███╔╝
     ╚═════╝╚═╝  ╚═╝╚═╝  ╚═╝╚═╝╚═╝  ╚═══╝╚══════╝╚═╝  ╚═╝ ╚══╝╚══╝
        By WithSecure Countercept (@FranticTyping, @AlexKornitzer)

    [+] Loading detection rules from: ../../rules/, /tmp/sigma/rules
    [+] Loaded 129 detection rules (198 not loaded)
    [+] Loading event logs from: ../../evtx_attack_samples (extensions: .evtx)
    [+] Loaded 268 EVTX files (37.5 MB)
    [+] Hunting: [========================================] 268/268

    [+] Group: Antivirus
    ┌─────────────────────┬────────────────────┬──────────┬───────────┬─────────────┬────────────────────────────────┬──────────────────────────────────┬────────────────────┐
    │      timestamp      │     detections     │ Event ID │ Record ID │  Computer   │          Threat Name           │           Threat Path            │        User        │
    ├─────────────────────┼────────────────────┼──────────┼───────────┼─────────────┼────────────────────────────────┼──────────────────────────────────┼────────────────────┤
    │ 2019-07-18 20:40:00 │ ‣ Windows Defender │ 1116     │ 37        │ MSEDGEWIN10 │ Trojan:PowerShell/Powersploit. │ file:_C:AtomicRedTeamatomic-   │ MSEDGEWIN10IEUser │
    │                     │                    │          │           │             │ M                              │ red-team-masteratomicsT1056   │                    │
    │                     │                    │          │           │             │                                │ Get-Keystrokes.ps1               │                    │
    ├─────────────────────┼────────────────────┼──────────┼───────────┼─────────────┼────────────────────────────────┼──────────────────────────────────┼────────────────────┤
    │ 2019-07-18 20:53:31 │ ‣ Windows Defender │ 1117     │ 106       │ MSEDGEWIN10 │ Trojan:XML/Exeselrun.gen!A     │ file:_C:AtomicRedTeamatomic-   │ MSEDGEWIN10IEUser │
    │                     │                    │          │           │             │                                │ red-team-masteratomicsT1086   │                    │
    │                     │                    │          │           │             │                                │ payloadstest.xsl                │                    │
    └─────────────────────┴────────────────────┴──────────┴───────────┴─────────────┴────────────────────────────────┴──────────────────────────────────┴────────────────────┘

    [+] Group: Log Tampering
    ┌─────────────────────┬───────────────────────────────┬──────────┬───────────┬────────────────────────────────┬───────────────┐
    │      timestamp      │          detections           │ Event ID │ Record ID │            Computer            │     User      │
    ├─────────────────────┼───────────────────────────────┼──────────┼───────────┼────────────────────────────────┼───────────────┤
    │ 2019-01-20 07:00:50 │ ‣ Security Audit Logs Cleared │ 1102     │ 32853     │ WIN-77LTAPHIQ1R.example.corp   │ Administrator │
    └─────────────────────┴───────────────────────────────┴──────────┴───────────┴────────────────────────────────┴───────────────┘

    [+] Group: Sigma
    ┌─────────────────────┬────────────────────────────────┬───────┬────────────────────────────────┬──────────┬───────────┬──────────────────────────┬──────────────────────────────────┐
    │      timestamp      │           detections           │ count │     Event.System.Provider      │ Event ID │ Record ID │         Computer         │            Event Data            │
    ├─────────────────────┼────────────────────────────────┼───────┼────────────────────────────────┼──────────┼───────────┼──────────────────────────┼──────────────────────────────────┤
    │ 2019-04-29 20:59:14 │ ‣ Malicious Named Pipe         │ 1     │ Microsoft-Windows-Sysmon       │ 18       │ 8046      │ IEWIN7                   │ ---                              │
    │                     │                                │       │                                │          │           │                          │ Image: System                    │
    │                     │                                │       │                                │          │           │                          │ PipeName: "\46a676ab7f179e511   │
    │                     │                                │       │                                │          │           │                          │ e30dd2dc41bd388"                 │
    │                     │                                │       │                                │          │           │                          │ ProcessGuid: 365ABB72-D9C4-5CC   │
    │                     │                                │       │                                │          │           │                          │ 7-0000-0010EA030000              │
    │                     │                                │       │                                │          │           │                          │ ProcessId: 4                     │
    │                     │                                │       │                                │          │           │                          │ RuleName: ""                     │
    │                     │                                │       │                                │          │           │                          │ UtcTime: "2019-04-29 20:59:14.   │
    │                     │                                │       │                                │          │           │                          │ 430"                             │
    ├─────────────────────┼────────────────────────────────┼───────┼────────────────────────────────┼──────────┼───────────┼──────────────────────────┼──────────────────────────────────┤
    │ 2019-04-30 20:26:51 │ ‣ CobaltStrike Service         │ 1     │ Microsoft-Windows-Sysmon       │ 13       │ 9806      │ IEWIN7                   │ ---                              │
    │                     │ Installations in Registry      │       │                                │          │           │                          │ Details: "%%COMSPEC%% /b /c st   │
    │                     │                                │       │                                │          │           │                          │ art /b /min powershell.exe -no   │
    │                     │                                │       │                                │          │           │                          │ p -w hidden -noni -c "if([Int   │
    │                     │                                │       │                                │          │           │                          │ Ptr]::Size -eq 4){$b='powershe   │
    │                     │                                │       │                                │          │           │                          │ ll.exe'}else{$b=$env:windir+'   │
    │                     │                                │       │                                │          │           │                          │ syswow64\WindowsPowerShell\   │
    │                     │                                │       │                                │          │           │                          │ v1.0\powershell.exe'};$s=New-   │
    │                     │                                │       │                                │          │           │                          │ Object System.Diagnostics.Proc   │
    │                     │                                │       │                                │          │           │                          │ essStartInfo;$s.FileName=$b;$s   │
    │                     │                                │       │                                │          │           │                          │ .Arguments='-noni -nop -w hidd   │
    │                     │                                │       │                                │          │           │                          │ en -c &([scriptblock]::create(   │
    │                     │                                │       │                                │          │           │                          │ (New-Object IO.StreamReader(Ne   │
    │                     │                                │       │                                │          │           │                          │ w-Object IO.Compression.GzipSt   │
    │                     │                                │       │                                │          │           │                          │ ream((New-Object IO.MemoryStre   │
    │                     │                                │       │                                │          │           │                          │ am(,[Convert]::FromBase64Strin   │
    │                     │                                │       │                                │          │           │                          │ g(''H4sIAIuvyFwCA7VW+2/aSBD+OZ   │
    │                     │                                │       │                                │          │           │                          │ H6P1...                          │
    │                     │                                │       │                                │          │           │                          │ (use --full to show all content) │
    │                     │                                │       │                                │          │           │                          │ EventType: SetValue              │
    │                     │                                │       │                                │          │           │                          │ Image: "C:\Windows\system32   │
    │                     │                                │       │                                │          │           │                          │ services.exe"                   │
    │                     │                                │       │                                │          │           │                          │ ProcessGuid: 365ABB72-2586-5CC   │
    │                     │                                │       │                                │          │           │                          │ 9-0000-0010DC530000              │
    │                     │                                │       │                                │          │           │                          │ ProcessId: 460                   │
    │                     │                                │       │                                │          │           │                          │ RuleName: ""                     │
    │                     │                                │       │                                │          │           │                          │ TargetObject: "HKLM\System\C   │
    │                     │                                │       │                                │          │           │                          │ urrentControlSet\services\he   │
    │                     │                                │       │                                │          │           │                          │ llo\ImagePath"                  │
    │                     │                                │       │                                │          │           │                          │ UtcTime: "2019-04-30 20:26:51.   │
    │                     │                                │       │                                │          │           │                          │ 934"                             │
    ├─────────────────────┼────────────────────────────────┼───────┼────────────────────────────────┼──────────┼───────────┼──────────────────────────┼──────────────────────────────────┤
    │ 2019-05-12 12:52:43 │ ‣ Meterpreter or Cobalt        │ 1     │ Service Control Manager        │ 7045     │ 10446     │ IEWIN7                   │ ---                              │
    │                     │ Strike Getsystem Service       │       │                                │          │           │                          │ AccountName: LocalSystem         │
    │                     │ Installation                   │       │                                │          │           │                          │ ImagePath: "%COMSPEC% /c ping    │
    │                     │                                │       │                                │          │           │                          │ -n 1 127.0.0.1 >nul && echo 'W   │
    │                     │                                │       │                                │          │           │                          │ inPwnage' > \\.\pipe\WinPw   │
    │                     │                                │       │                                │          │           │                          │ nagePipe"                        │
    │                     │                                │       │                                │          │           │                          │ ServiceName: WinPwnage           │
    │                     │                                │       │                                │          │           │                          │ ServiceType: user mode service   │
    │                     │                                │       │                                │          │           │                          │ StartType: demand start          │
    ├─────────────────────┼────────────────────────────────┼───────┼────────────────────────────────┼──────────┼───────────┼──────────────────────────┼──────────────────────────────────┤
    │ 2019-06-21 07:35:37 │ ‣ Dumpert Process Dumper       │ 1     │ Microsoft-Windows-Sysmon       │ 11       │ 238375    │ alice.insecurebank.local │ ---                              │
    │                     │                                │       │                                │          │           │                          │ CreationUtcTime: "2019-06-21 0   │
    │                     │                                │       │                                │          │           │                          │ 6:53:03.227"                     │
    │                     │                                │       │                                │          │           │                          │ Image: "C:\Users\administrat   │
    │                     │                                │       │                                │          │           │                          │ or\Desktop\x64\Outflank-Dum   │
    │                     │                                │       │                                │          │           │                          │ pert.exe"                        │
    │                     │                                │       │                                │          │           │                          │ ProcessGuid: ECAD0485-88C9-5D0   │
    │                     │                                │       │                                │          │           │                          │ C-0000-0010348C1D00              │
    │                     │                                │       │                                │          │           │                          │ ProcessId: 3572                  │
    │                     │                                │       │                                │          │           │                          │ RuleName: ""                     │
    │                     │                                │       │                                │          │           │                          │ TargetFilename: "C:\Windows\   │
    │                     │                                │       │                                │          │           │                          │ Temp\dumpert.dmp"               │
    │                     │                                │       │                                │          │           │                          │ UtcTime: "2019-06-21 07:35:37.   │
    │                     │                                │       │                                │          │           │                          │ 324"                             │
    └─────────────────────┴────────────────────────────────┴───────┴────────────────────────────────┴──────────┴───────────┴──────────────────────────┴──────────────────────────────────┘

Menganalisis

Shimcache 

 COMMAND:
    analyse shimcache                 Create an execution timeline from the shimcache with optional amcache enrichments

USAGE:
    chainsaw analyse shimcache [OPTIONS] <SHIMCACHE>

ARGUMENTS:
    <SHIMCACHE>                       The path to the shimcache artefact (SYSTEM registry file)

OPTIONS:
    -e, --regex <pattern>             A string or regular expression for detecting shimcache entries whose timestamp matches their insertion time
    -r, --regexfile <REGEX_FILE>      The path to a newline delimited file containing regex patterns for detecting shimcache entries whose timestamp matches their insertion time
    -o, --output <OUTPUT>             The path to output the result csv file
    -a, --amcache <AMCACHE>           The path to the amcache artefact (Amcache.hve) for timeline enrichment
    -p, --tspair                      Enable near timestamp pair detection between shimcache and amcache for finding additional insertion timestamps for shimcache entries
    -h, --help                        Print help
  • Contoh file pola untuk parameter --regexfile termasuk dalam analisis/shimcache_patterns.txt.
  • Pola Regex dicocokkan pada jalur di entri Shimcache yang dikonversi menjadi huruf kecil .
Contoh Perintah

Menganalisis artefak shimcache dengan pola regex yang disediakan, dan menggunakan pengayaan AMCACHE dengan stempel waktu dekat deteksi pasangan yang diaktifkan. Output ke file CSV. 

 ./chainsaw analyse shimcache ./SYSTEM --regexfile ./analysis/shimcache_patterns.txt --amcache ./Amcache.hve --tspair --output ./output.csv

Menganalisis artefak shimcache dengan pola regex yang disediakan (tanpa pengayaan AMCACHE). Output ke terminal. 

 ./chainsaw analyse shimcache ./SYSTEM --regexfile ./analysis/shimcache_patterns.txt

SRUM (Sistem Sumber Daya Penggunaan Monitor)

Parser basis data SRUM yang diimplementasikan dalam chainsaw berbeda dari parser lain karena tidak bergantung pada nilai hardcoded tentang tabel. Informasi ini diekstraksi langsung dari perangkat lunak Hive, yang merupakan argumen wajib. Tujuannya adalah untuk menghindari kesalahan yang terkait dengan tabel yang tidak diketahui. 

 COMMAND:
    analyse srum                             Analyse the SRUM database

USAGE:
    chainsaw analyse srum [OPTIONS] --software <SOFTWARE_HIVE_PATH> <SRUM_PATH>

ARGUMENTS:
    <SRUM_PATH>                              The path to the SRUM database

OPTIONS:
    -s, --software <SOFTWARE_HIVE_PATH>      The path to the SOFTWARE hive
        --stats-only                         Only output details about the SRUM database
    -q                                       Suppress informational output
    -o, --output <OUTPUT>                    Save the output to a file
    -h, --help                               Print help
Contoh perintah

Analisis database SRUM (sarang perangkat lunak adalah wajib) 

 ./chainsaw analyse srum --software ./SOFTWARE ./SRUDB.dat --output ./output.json
Keluaran 
 $ ./chainsaw analyse srum --software ./SOFTWARE ./SRUDB.dat -o ./output.json

     ██████╗██╗  ██╗ █████╗ ██╗███╗   ██╗███████╗ █████╗ ██╗    ██╗
    ██╔════╝██║  ██║██╔══██╗██║████╗  ██║██╔════╝██╔══██╗██║    ██║
    ██║     ███████║███████║██║██╔██╗ ██║███████╗███████║██║ █╗ ██║
    ██║     ██╔══██║██╔══██║██║██║╚██╗██║╚════██║██╔══██║██║███╗██║
    ╚██████╗██║  ██║██║  ██║██║██║ ╚████║███████║██║  ██║╚███╔███╔╝
     ╚═════╝╚═╝  ╚═╝╚═╝  ╚═╝╚═╝╚═╝  ╚═══╝╚══════╝╚═╝  ╚═╝ ╚══╝╚══╝
        By WithSecure Countercept (@FranticTyping, @AlexKornitzer)

    [+] ESE database file loaded from "/home/user/Documents/SRUDB.dat"
    [+] Parsing the ESE database...
    [+] SOFTWARE hive loaded from "/home/user/Documents/SOFTWARE"
    [+] Parsing the SOFTWARE registry hive...
    [+] Analysing the SRUM database...
    [+] Details about the tables related to the SRUM extensions:
    +------------------------------------------+--------------------------------------------+--------------------------------------+-------------------------+-------------------------+
    | Table GUID                               | Table Name                                 | DLL Path                             | Timeframe of the data   | Expected Retention Time |
    +------------------------------------------+--------------------------------------------+--------------------------------------+-------------------------+-------------------------+
    | {5C8CF1C7-7257-4F13-B223-970EF5939312}   | App Timeline Provider                      | %SystemRoot%System32eeprov.dll     | 2022-03-10 16:34:59 UTC | 7 days                  |
    |                                          |                                            |                                      | 2022-03-10 21:10:00 UTC |                         |
    +------------------------------------------+--------------------------------------------+--------------------------------------+-------------------------+-------------------------+
    | {B6D82AF1-F780-4E17-8077-6CB9AD8A6FC4}   | Tagged Energy Provider                     | %SystemRoot%System32eeprov.dll     | No records              | 3 days                  |
    +------------------------------------------+--------------------------------------------+--------------------------------------+-------------------------+-------------------------+
    | {D10CA2FE-6FCF-4F6D-848E-B2E99266FA86}   | WPN SRUM Provider                          | %SystemRoot%System32wpnsruprov.dll | 2022-03-10 20:09:00 UTC | 60 days                 |
    |                                          |                                            |                                      | 2022-03-10 21:09:00 UTC |                         |
    +------------------------------------------+--------------------------------------------+--------------------------------------+-------------------------+-------------------------+
    | {D10CA2FE-6FCF-4F6D-848E-B2E99266FA89}   | Application Resource Usage Provider        | %SystemRoot%System32appsruprov.dll | 2022-03-10 16:34:59 UTC | 60 days                 |
    |                                          |                                            |                                      | 2022-03-10 21:10:00 UTC |                         |
    +------------------------------------------+--------------------------------------------+--------------------------------------+-------------------------+-------------------------+
    | {FEE4E14F-02A9-4550-B5CE-5FA2DA202E37}   | Energy Usage Provider                      | %SystemRoot%System32energyprov.dll | No records              | 60 days                 |
    +------------------------------------------+--------------------------------------------+--------------------------------------+-------------------------+-------------------------+
    | {FEE4E14F-02A9-4550-B5CE-5FA2DA202E37}LT | Energy Usage Provider (Long Term)          | %SystemRoot%System32energyprov.dll | No records              | 1820 days               |
    +------------------------------------------+--------------------------------------------+--------------------------------------+-------------------------+-------------------------+
    | {973F5D5C-1D90-4944-BE8E-24B94231A174}   | Windows Network Data Usage Monitor         | %SystemRoot%System32nduprov.dll    | 2022-03-10 16:34:59 UTC | 60 days                 |
    |                                          |                                            |                                      | 2022-03-10 21:10:00 UTC |                         |
    +------------------------------------------+--------------------------------------------+--------------------------------------+-------------------------+-------------------------+
    | {7ACBBAA3-D029-4BE4-9A7A-0885927F1D8F}   | vfuprov                                    | %SystemRoot%System32vfuprov.dll    | 2022-03-10 20:09:00 UTC | 60 days                 |
    |                                          |                                            |                                      | 2022-03-10 21:10:00 UTC |                         |
    +------------------------------------------+--------------------------------------------+--------------------------------------+-------------------------+-------------------------+
    | {DA73FB89-2BEA-4DDC-86B8-6E048C6DA477}   | Energy Estimation Provider                 | %SystemRoot%System32eeprov.dll     | No records              | 7 days                  |
    +------------------------------------------+--------------------------------------------+--------------------------------------+-------------------------+-------------------------+
    | {DD6636C4-8929-4683-974E-22C046A43763}   | Windows Network Connectivity Usage Monitor | %SystemRoot%System32ncuprov.dll    | 2022-03-10 16:34:59 UTC | 60 days                 |
    |                                          |                                            |                                      | 2022-03-10 21:10:00 UTC |                         |
    +------------------------------------------+--------------------------------------------+--------------------------------------+-------------------------+-------------------------+
    [+] SRUM database parsed successfully
    [+] Saving output to "/home/user/Documents/output.json"
    [+] Saved output to "/home/user/Documents/output.json"
Wawasan forensik

Informasi tentang wawasan forensik baru yang terkait dengan artefak ini dapat ditemukan di wiki: https://github.com/withsecurelabs/chainsaw/wiki/srum-analysis.

Dumping 

 USAGE:
    chainsaw dump [OPTIONS] <PATH>

ARGUMENTS:
    <PATH>                  The path to an artefact to dump

OPTIONS:
    -j, --json              Dump in json format
        --jsonl             Print the output in jsonl format
        --load-unknown      Allow chainsaw to try and load files it cannot identify
    -o, --output <OUTPUT>   A path to output results to
    -q                      Suppress informational output
        --skip-errors       Continue to hunt when an error is encountered
    -h, --help              Print help

Contoh perintah

Buang sarang perangkat lunak 

 ./chainsaw dump ./SOFTWARE.hve --json --output ./output.json

Ucapan Terima Kasih

  • Evtx-attack-sampel oleh @sbousseaden
  • Aturan Deteksi Sigma
  • EVTX Parser Library oleh @obenamram
  • Perpustakaan mesin tau oleh @alexkornitzer
  • Fitur Analisis Shimcache dikembangkan sebagai bagian dari proyek CC-Driver, yang didanai oleh Program Penelitian dan Inovasi Horizon 2020 Uni Eropa di bawah Perjanjian Hibah No. 883543
  • Dfirartifactmuseum oleh Andrew Rathbun (@bunsofwrath12)
Memperluas
Informasi Tambahan
Aplikasi Terkait
Direkomendasikan untuk Anda
Informasi Terkait Semua