chainsawダウンロードchainsawソースコードのダウンロード

Windowsのフォレンジックアーティファクトを迅速に検索して狩ります

Chainsawは、イベントログやMFTファイルなどのWindowsフォレンジックアーチファクト内の脅威を迅速に特定する強力な「最初の反応」機能を提供します。 Chainsawは、キーワードのイベントログを検索する一般的かつ高速な方法を提供し、Sigma検出ルールの組み込みサポートを使用して、およびカスタムチェーンソー検出ルールを介して脅威を特定することにより提供します。

特徴

Sigma検出ルールとカスタムチェーンソー検出ルールを使用した脅威の狩り
？弦のマッチングおよび逆gesパターンで法医学的アーティファクトを検索して抽出します
？ Shimcacheアーティファクトを分析し、Amcacheデータでそれらを濃縮することにより、実行タイムラインを作成します
SRUMデータベースを分析し、それについての洞察を提供します
フォレンジックアーティファクトの生の内容（MFT、レジストリハイブ、ESEデータベース）を捨てる
rust rustで書かれた稲妻、@obenamramによるevtxパーサーライブラリを包みます
？不必要な肥大化のない清潔で軽量の実行と出力形式
Tau Engine Libraryが提供するドキュメントタグ付け（検出ロジックマッチング）
？出力は、ASCIIテーブル形式、CSV形式、JSON形式など、さまざまな形式で結果をもたらします
MacOS、Linux、Windowsで実行できます

特徴
なぜチェーンソー？
Windowsイベントログのハンティングロジック
クイックスタートガイド
- ダウンロードと実行
- nixでインストール/ビルド
- EDRおよびAV警告
- Chainsaw v2で変化したもの
例
- 検索
- 狩猟
- 分析
  - shimcache
  - srum（システムリソース使用モニター）
- ダンピング
謝辞

拡張情報は、このツールのwikiにあります：https：//github.com/withsecurelabs/chainsaw/wiki

なぜチェーンソー？

Withecure Counterceptでは、EDRエージェントを介してエンドポイントから幅広いテレメトリソースを摂取して、管理された検出と応答サービスを提供します。ただし、EDRによってキャプチャされていない法医学的アーティファクトを迅速に分析する必要がある状況があります。これは、妥協時にEDRがインストールされていなかった不動産に関するインシデント対応調査です。 Chainsawは、脅威ハンターとインシデント対応コンサルタントに、これらの状況で法医学的アーティファクトの迅速なトリアージを実行するツールを提供するために作成されました。

Windowsイベントログ

Windowsイベントログは、脅威狩猟とインシデント対応の調査に関する法医学的情報の豊富なソースを提供します。残念ながら、イベントログの処理と検索は、ゆっくりと時間のかかるプロセスになる可能性があり、ほとんどの場合、ログデータを効率的に狩り、検出ロジックを適用するために、周囲のインフラストラクチャのオーバーヘッドが必要です。このオーバーヘッドは、青いチームがWindowsイベントログを迅速にトリアージして、調査を進めるために必要な方向と結論を提供することができないことを意味します。 Chainsawは、Windowsイベントログを迅速に検索し、ハントすることができるため、問題を解決します。

執筆時点では、Windowsイベントログをトリアするシンプルで高速な方法を提供し、ログ内の興味深い要素を識別し、悪意のあるアクティビティの兆候を検出する検出ロジックルール形式（SIGMAなど）を適用するオープンソースのスタンドアロンツールはほとんどありません。私たちのテストでは、存在したツールは、検出ロジックを大量のイベントログに効率的に適用するのに苦労し、クイックトリアージが必要なシナリオには不適切になりました。

Windowsイベントログのハンティングロジック

シグマルールマッチング

--sigmaパラメーターと--mappingパラメーターを使用すると、Sigma検出ルールのサブセット（またはSigma Git Repo全体）のサブセットを含むディレクトリを指定できます。マッピングファイルは、ルールマッチングに使用するイベントログのフィールドをChainsawに伝えます。デフォルトでは、Chainsawは以下を含むがこれらに限定されない幅広いイベントログタイプをサポートしています。

イベントタイプ	イベントID
プロセス作成（sysmon）	1
ネットワーク接続（sysmon）	3
画像ロード（sysmon）	7
ファイル作成（sysmon）	11
レジストリイベント（sysmon）	13
PowerShellスクリプトブロック	4104
プロセス作成	4688
スケジュールされたタスク作成	4698
サービス作成	7045

ルール検出に使用されるフィールドの完全なリストについては、マッピングファイルを参照してください。お客様のニーズに拡張してください。

チェーンソー検出ルール

Sigmaルールのサポートに加えて、Chainsawはカスタムルール形式もサポートしています。リポジトリには、ユーザーが以下を可能にするさまざまなチェーンソールールを含むrulesディレクトリがあります。

Windows Defender、F-Secure、Sophos、Kaspersky AVアラートを抽出して解析する
キーイベントログがクリアされているか、イベントログサービスが停止していることを検出します
ユーザーは、機密のユーザーグループに作成または追加されます
リモートログイン（サービス、RDP、ネットワークなど）イベント。これにより、ハンターは横方向の動きの原因を特定するのに役立ちます
ローカルユーザーアカウントのブルートフォース

クイックスタートガイド

ダウンロードと実行

Chainsaw V2のリリースにより、Sigma RulesとEVTX-Attack-SamplesリポジトリをChainsawサブモジュールとして含めることはもうないことにしました。これらのリポジトリを個別にクローンして、最新のバージョンを確保することをお勧めします。

チェーンソーバイナリ、Sigmaルール、およびイベントログの例を含むオールインワンパッケージが必要な場合は、このGitHubリポジトリのリリースセクションからダウンロードできます。このリリースセクションでは、さまざまなプラットフォームやアーキテクチャ用のChainsawの事前にコンパイルされたバイナリのみのバージョンもあります。

チェーンソーを自分でコンパイルしたい場合は、チェーンソーレポをクローンできます。

git clone https://github.com/WithSecureLabs/chainsaw.git

ランニング： cargo build --releaseでコードを自分でコンパイルします。ビルドが終了すると、ターゲット/リリースフォルダーにコンパイルされたバイナリのコピーが見つかります。

これにより、実行時間が大幅に速くなるため、 --releaseフラグを使用して構築してください。

Chainsawが実行されたときにどのように見えるかをすばやく確認したい場合は、SigmaルールとEVTX-Attack-Samplesリポジトリをクローンできます。

 git clone https://github.com/SigmaHQ/sigma
git clone https://github.com/sbousseaden/EVTX-ATTACK-SAMPLES.git

次に、以下のパラメーターでチェーンソーを実行します。

 ./chainsaw hunt EVTX-ATTACK-SAMPLES/ -s sigma/ --mapping mappings/sigma-event-logs-all.yml

nixでインストール/ビルド

 ├───devShells
│   └───x86_64-linux
│       └───default: development environment 'nix-shell'
├───formatter
│   └───x86_64-linux: package 'alejandra-3.1.0'
└───packages
    └───x86_64-linux
        ├───chainsaw: package 'chainsaw-2.10.1'
        └───default: package 'chainsaw-2.10.1'

パッケージとしてのチェーンソーは、NIXPKGSを介して利用できます。 Nixosを使用している場合は、システム構成ファイルにchainsawを追加するだけです。

ただし、Nixosを使用していない場合でも、Nixを介してChainsawをインストールできます。推奨方法はnix-shell経由で、$ PATH環境変数を一時的に変更します。そうするために、次のことを実行してください。

 nix-shell -p chainsaw

また、このリポジトリはフレークであるという事実を利用することもできます。また、以下を実行できます。

 nix profile install github:WithSecureLabs/chainsaw

ただし、Nixを使用してChainsawを自分で構築したい場合は、このリポジトリが付属しているflake.nix再度使用できます。バイナリを構築するには、クローンされたリポジトリのルートディレクトルで以下を実行してください

 nix build .#

これにより、./result ./result/bin/chainsaw chainsawの下にChainsawバイナリがあり、 ./resultディレクトリが作成されます。

EDRおよびAV警告

Chainsawをダウンロードして実行するときは、地元のEDR / AntivirusエンジンがChainsawを悪意があることを検出することがわかります。次のgithubの問題で、これの例を見ることができます：Example1、Example2。

これらの警告は、通常、悪意のある文字列への参照を含むイベントログおよび/またはSigmaルールの例（「Mimikatz」など）が原因です。また、何らかの形のヒューリスティック検出のために、おそらくウイルス対策エンジンの小さなサブセットによってチェーンソーバイナリが検出されたインスタンスも見てきました。

Chainsaw v2で何が変わったのですか？

2022年7月に、Chainsawのバージョン2をリリースしました。 Chainsaw V2には、次のハイライトのリストを含むいくつかの大幅な改善が含まれています。

Sigmaルールをマッピングするための改善されたアプローチにより、サポートされているチェーンソールールの数が大幅に増加し、イベントログイベントタイプが増加します。
検出を含むイベントログのすべてのイベントデータのスナップショットを示すCLI出力の改善。
JSONおよびXML形式の両方でのイベントログの読み込みと解析のサポート。
ハントおよび検索機能のクリーンでよりシンプルなコマンドライン引数。
ルール著者、ルールステータス、ルールレベルなど、追加のオプションの出力情報。
ステータス、種類、および重大度レベルでロードされたルールをフィルタリングする機能。
組み込まれたチェーンソー検出ルールは、専用のチェーンソールールファイルに分割されました
Chainsawのコードをきれいで書き直して、読みやすさを改善し、コミュニティの貢献のオーバーヘッドを減らします。

Chainsawのバージョン1を使用したい場合は、リリースセクションでコンパイルされたバイナリを見つけるか、V1.xxブランチのソースコードにアクセスできます。 Chainsaw V1は維持されなくなり、すべてのユーザーがChainsaw V2に移動するように求める必要があることに注意してください。

Chainsaw V1の「クリスマスプロジェクト」コードベースをV2の洗練された製品に変換することができた@Alexkornitzerに感謝します。

例

検索

  USAGE:
      chainsaw search [FLAGS] [OPTIONS] <pattern> [--] [path]...

  FLAGS:
      -h, --help            Prints help information
      -i, --ignore-case     Ignore the case when searching patterns
          --json            Print the output in json format
          --load-unknown    Allow chainsaw to try and load files it cannot identify
          --local           Output the timestamp using the local machine's timestamp
      -q                    Suppress informational output
          --skip-errors     Continue to search when an error is encountered
      -V, --version         Prints version information

  OPTIONS:
          --extension <extension>...    Only search through files with the provided extension
          --from <from>                 The timestamp to search from. Drops any documents older than the value provided
      -o, --output <output>             The path to output results to
      -e, --regex <pattern>...          A string or regular expression pattern to search for
      -t, --tau <tau>...                Tau expressions to search with. e.g. 'Event.System.EventID: =4104'
          --timestamp <timestamp>       The field that contains the timestamp
          --timezone <timezone>         Output the timestamp using the timezone provided
          --to <to>                     The timestamp to search up to. Drops any documents newer than the value provided

  ARGS:
      <pattern>    A string or regular expression pattern to search for. Not used when -e or -t is specified
      <path>...    The paths containing event logs to load and hunt through

コマンドの例

すべての.evtxファイルをケースに依存しない文字列「Mimikatz」の検索

 ./chainsaw search mimikatz -i evtx_attack_samples/

*すべての.evtxファイルをPowerShellスクリプトブロックイベントの検索（イベントID 4014）

 ./chainsaw search -t 'Event.System.EventID: =4104' evtx_attack_samples/

一致するRegexパターン、JSON形式の出力を使用して、ログオンイベントの特定のEVTXログを検索します

 ./chainsaw search -e "DC[0-9].insecurebank.local" evtx_attack_samples --json

狩猟

  USAGE:
      chainsaw hunt [FLAGS] [OPTIONS] [--] [path]...

  FLAGS:
          --csv             Print the output in csv format
          --full            Print the full values for the tabular output
      -h, --help            Prints help information
          --json            Print the output in json format
          --load-unknown    Allow chainsaw to try and load files it cannot identify
          --local           Output the timestamp using the local machine's timestamp
          --log             Print the output in log like format
          --metadata        Display additional metadata in the tablar output
      -q                    Suppress informational output
          --skip-errors     Continue to hunt when an error is encountered
      -V, --version         Prints version information

  OPTIONS:
          --column-width <column-width>    Set the column width for the tabular output
          --extension <extension>...       Only hunt through files with the provided extension
          --from <from>                    The timestamp to hunt from. Drops any documents older than the value provided
          --kind <kind>...                 Restrict loaded rules to specified kinds
          --level <level>...               Restrict loaded rules to specified levels
      -m, --mapping <mapping>...           A mapping file to tell Chainsaw how to use third-party rules
      -o, --output <output>                A path to output results to
      -r, --rule <rule>...                 A path containing additional rules to hunt with
      -s, --sigma <sigma>...               A path containing Sigma rules to hunt with
          --status <status>...             Restrict loaded rules to specified statuses
          --timezone <timezone>            Output the timestamp using the timezone provided
          --to <to>                        The timestamp to hunt up to. Drops any documents newer than the value provided

  ARGS:
      <rules>      The path to a collection of rules to use for hunting
      <path>...    The paths containing event logs to load and hunt through

コマンドの例

検出ロジックのためにSigmaルールを使用して、すべてのEVTXファイルを介してハント

 ./chainsaw hunt evtx_attack_samples/ -s sigma/ --mapping mappings/sigma-event-logs-all.yml

sigmaルールとチェーンソールールを使用して、すべてのEVTXファイルを使用して、結果フォルダーにCSV形式での検出ロジックと出力のためのルールを使用してハントします

 ./chainsaw hunt evtx_attack_samples/ -s sigma/ --mapping mappings/sigma-event-logs-all.yml -r rules/ --csv --output results

検出ロジックのSigmaルールを使用してすべてのEVTXファイルを介してハントし、特定のタイムスタンプ間でのみ検索し、JSON形式で結果を出力します

 ./chainsaw hunt evtx_attack_samples/ -s sigma/ --mapping mappings/sigma-event-logs-all.yml --from "2019-03-17T19:09:39" --to "2019-03-17T19:09:50" --json

出力

 $ ./chainsaw hunt -r rules/ evtx_attack_samples -s sigma/rules --mapping mappings/sigma-event-logs-all.yml --level critical

     ██████╗██╗  ██╗ █████╗ ██╗███╗   ██╗███████╗ █████╗ ██╗    ██╗
    ██╔════╝██║  ██║██╔══██╗██║████╗  ██║██╔════╝██╔══██╗██║    ██║
    ██║     ███████║███████║██║██╔██╗ ██║███████╗███████║██║ █╗ ██║
    ██║     ██╔══██║██╔══██║██║██║╚██╗██║╚════██║██╔══██║██║███╗██║
    ╚██████╗██║  ██║██║  ██║██║██║ ╚████║███████║██║  ██║╚███╔███╔╝
     ╚═════╝╚═╝  ╚═╝╚═╝  ╚═╝╚═╝╚═╝  ╚═══╝╚══════╝╚═╝  ╚═╝ ╚══╝╚══╝
        By WithSecure Countercept (@FranticTyping, @AlexKornitzer)

    [+] Loading detection rules from: ../../rules/, /tmp/sigma/rules
    [+] Loaded 129 detection rules (198 not loaded)
    [+] Loading event logs from: ../../evtx_attack_samples (extensions: .evtx)
    [+] Loaded 268 EVTX files (37.5 MB)
    [+] Hunting: [========================================] 268/268

    [+] Group: Antivirus
    ┌─────────────────────┬────────────────────┬──────────┬───────────┬─────────────┬────────────────────────────────┬──────────────────────────────────┬────────────────────┐
    │      timestamp      │     detections     │ Event ID │ Record ID │  Computer   │          Threat Name           │           Threat Path            │        User        │
    ├─────────────────────┼────────────────────┼──────────┼───────────┼─────────────┼────────────────────────────────┼──────────────────────────────────┼────────────────────┤
    │ 2019-07-18 20:40:00 │ ‣ Windows Defender │ 1116     │ 37        │ MSEDGEWIN10 │ Trojan:PowerShell/Powersploit. │ file:_C:AtomicRedTeamatomic-   │ MSEDGEWIN10IEUser │
    │                     │                    │          │           │             │ M                              │ red-team-masteratomicsT1056   │                    │
    │                     │                    │          │           │             │                                │ Get-Keystrokes.ps1               │                    │
    ├─────────────────────┼────────────────────┼──────────┼───────────┼─────────────┼────────────────────────────────┼──────────────────────────────────┼────────────────────┤
    │ 2019-07-18 20:53:31 │ ‣ Windows Defender │ 1117     │ 106       │ MSEDGEWIN10 │ Trojan:XML/Exeselrun.gen!A     │ file:_C:AtomicRedTeamatomic-   │ MSEDGEWIN10IEUser │
    │                     │                    │          │           │             │                                │ red-team-masteratomicsT1086   │                    │
    │                     │                    │          │           │             │                                │ payloadstest.xsl                │                    │
    └─────────────────────┴────────────────────┴──────────┴───────────┴─────────────┴────────────────────────────────┴──────────────────────────────────┴────────────────────┘

    [+] Group: Log Tampering
    ┌─────────────────────┬───────────────────────────────┬──────────┬───────────┬────────────────────────────────┬───────────────┐
    │      timestamp      │          detections           │ Event ID │ Record ID │            Computer            │     User      │
    ├─────────────────────┼───────────────────────────────┼──────────┼───────────┼────────────────────────────────┼───────────────┤
    │ 2019-01-20 07:00:50 │ ‣ Security Audit Logs Cleared │ 1102     │ 32853     │ WIN-77LTAPHIQ1R.example.corp   │ Administrator │
    └─────────────────────┴───────────────────────────────┴──────────┴───────────┴────────────────────────────────┴───────────────┘

    [+] Group: Sigma
    ┌─────────────────────┬────────────────────────────────┬───────┬────────────────────────────────┬──────────┬───────────┬──────────────────────────┬──────────────────────────────────┐
    │      timestamp      │           detections           │ count │     Event.System.Provider      │ Event ID │ Record ID │         Computer         │            Event Data            │
    ├─────────────────────┼────────────────────────────────┼───────┼────────────────────────────────┼──────────┼───────────┼──────────────────────────┼──────────────────────────────────┤
    │ 2019-04-29 20:59:14 │ ‣ Malicious Named Pipe         │ 1     │ Microsoft-Windows-Sysmon       │ 18       │ 8046      │ IEWIN7                   │ ---                              │
    │                     │                                │       │                                │          │           │                          │ Image: System                    │
    │                     │                                │       │                                │          │           │                          │ PipeName: "\46a676ab7f179e511   │
    │                     │                                │       │                                │          │           │                          │ e30dd2dc41bd388"                 │
    │                     │                                │       │                                │          │           │                          │ ProcessGuid: 365ABB72-D9C4-5CC   │
    │                     │                                │       │                                │          │           │                          │ 7-0000-0010EA030000              │
    │                     │                                │       │                                │          │           │                          │ ProcessId: 4                     │
    │                     │                                │       │                                │          │           │                          │ RuleName: ""                     │
    │                     │                                │       │                                │          │           │                          │ UtcTime: "2019-04-29 20:59:14.   │
    │                     │                                │       │                                │          │           │                          │ 430"                             │
    ├─────────────────────┼────────────────────────────────┼───────┼────────────────────────────────┼──────────┼───────────┼──────────────────────────┼──────────────────────────────────┤
    │ 2019-04-30 20:26:51 │ ‣ CobaltStrike Service         │ 1     │ Microsoft-Windows-Sysmon       │ 13       │ 9806      │ IEWIN7                   │ ---                              │
    │                     │ Installations in Registry      │       │                                │          │           │                          │ Details: "%%COMSPEC%% /b /c st   │
    │                     │                                │       │                                │          │           │                          │ art /b /min powershell.exe -no   │
    │                     │                                │       │                                │          │           │                          │ p -w hidden -noni -c "if([Int   │
    │                     │                                │       │                                │          │           │                          │ Ptr]::Size -eq 4){$b='powershe   │
    │                     │                                │       │                                │          │           │                          │ ll.exe'}else{$b=$env:windir+'   │
    │                     │                                │       │                                │          │           │                          │ syswow64\WindowsPowerShell\   │
    │                     │                                │       │                                │          │           │                          │ v1.0\powershell.exe'};$s=New-   │
    │                     │                                │       │                                │          │           │                          │ Object System.Diagnostics.Proc   │
    │                     │                                │       │                                │          │           │                          │ essStartInfo;$s.FileName=$b;$s   │
    │                     │                                │       │                                │          │           │                          │ .Arguments='-noni -nop -w hidd   │
    │                     │                                │       │                                │          │           │                          │ en -c &([scriptblock]::create(   │
    │                     │                                │       │                                │          │           │                          │ (New-Object IO.StreamReader(Ne   │
    │                     │                                │       │                                │          │           │                          │ w-Object IO.Compression.GzipSt   │
    │                     │                                │       │                                │          │           │                          │ ream((New-Object IO.MemoryStre   │
    │                     │                                │       │                                │          │           │                          │ am(,[Convert]::FromBase64Strin   │
    │                     │                                │       │                                │          │           │                          │ g(''H4sIAIuvyFwCA7VW+2/aSBD+OZ   │
    │                     │                                │       │                                │          │           │                          │ H6P1...                          │
    │                     │                                │       │                                │          │           │                          │ (use --full to show all content) │
    │                     │                                │       │                                │          │           │                          │ EventType: SetValue              │
    │                     │                                │       │                                │          │           │                          │ Image: "C:\Windows\system32   │
    │                     │                                │       │                                │          │           │                          │ services.exe"                   │
    │                     │                                │       │                                │          │           │                          │ ProcessGuid: 365ABB72-2586-5CC   │
    │                     │                                │       │                                │          │           │                          │ 9-0000-0010DC530000              │
    │                     │                                │       │                                │          │           │                          │ ProcessId: 460                   │
    │                     │                                │       │                                │          │           │                          │ RuleName: ""                     │
    │                     │                                │       │                                │          │           │                          │ TargetObject: "HKLM\System\C   │
    │                     │                                │       │                                │          │           │                          │ urrentControlSet\services\he   │
    │                     │                                │       │                                │          │           │                          │ llo\ImagePath"                  │
    │                     │                                │       │                                │          │           │                          │ UtcTime: "2019-04-30 20:26:51.   │
    │                     │                                │       │                                │          │           │                          │ 934"                             │
    ├─────────────────────┼────────────────────────────────┼───────┼────────────────────────────────┼──────────┼───────────┼──────────────────────────┼──────────────────────────────────┤
    │ 2019-05-12 12:52:43 │ ‣ Meterpreter or Cobalt        │ 1     │ Service Control Manager        │ 7045     │ 10446     │ IEWIN7                   │ ---                              │
    │                     │ Strike Getsystem Service       │       │                                │          │           │                          │ AccountName: LocalSystem         │
    │                     │ Installation                   │       │                                │          │           │                          │ ImagePath: "%COMSPEC% /c ping    │
    │                     │                                │       │                                │          │           │                          │ -n 1 127.0.0.1 >nul && echo 'W   │
    │                     │                                │       │                                │          │           │                          │ inPwnage' > \\.\pipe\WinPw   │
    │                     │                                │       │                                │          │           │                          │ nagePipe"                        │
    │                     │                                │       │                                │          │           │                          │ ServiceName: WinPwnage           │
    │                     │                                │       │                                │          │           │                          │ ServiceType: user mode service   │
    │                     │                                │       │                                │          │           │                          │ StartType: demand start          │
    ├─────────────────────┼────────────────────────────────┼───────┼────────────────────────────────┼──────────┼───────────┼──────────────────────────┼──────────────────────────────────┤
    │ 2019-06-21 07:35:37 │ ‣ Dumpert Process Dumper       │ 1     │ Microsoft-Windows-Sysmon       │ 11       │ 238375    │ alice.insecurebank.local │ ---                              │
    │                     │                                │       │                                │          │           │                          │ CreationUtcTime: "2019-06-21 0   │
    │                     │                                │       │                                │          │           │                          │ 6:53:03.227"                     │
    │                     │                                │       │                                │          │           │                          │ Image: "C:\Users\administrat   │
    │                     │                                │       │                                │          │           │                          │ or\Desktop\x64\Outflank-Dum   │
    │                     │                                │       │                                │          │           │                          │ pert.exe"                        │
    │                     │                                │       │                                │          │           │                          │ ProcessGuid: ECAD0485-88C9-5D0   │
    │                     │                                │       │                                │          │           │                          │ C-0000-0010348C1D00              │
    │                     │                                │       │                                │          │           │                          │ ProcessId: 3572                  │
    │                     │                                │       │                                │          │           │                          │ RuleName: ""                     │
    │                     │                                │       │                                │          │           │                          │ TargetFilename: "C:\Windows\   │
    │                     │                                │       │                                │          │           │                          │ Temp\dumpert.dmp"               │
    │                     │                                │       │                                │          │           │                          │ UtcTime: "2019-06-21 07:35:37.   │
    │                     │                                │       │                                │          │           │                          │ 324"                             │
    └─────────────────────┴────────────────────────────────┴───────┴────────────────────────────────┴──────────┴───────────┴──────────────────────────┴──────────────────────────────────┘

分析

shimcache

 COMMAND:
    analyse shimcache                 Create an execution timeline from the shimcache with optional amcache enrichments

USAGE:
    chainsaw analyse shimcache [OPTIONS] <SHIMCACHE>

ARGUMENTS:
    <SHIMCACHE>                       The path to the shimcache artefact (SYSTEM registry file)

OPTIONS:
    -e, --regex <pattern>             A string or regular expression for detecting shimcache entries whose timestamp matches their insertion time
    -r, --regexfile <REGEX_FILE>      The path to a newline delimited file containing regex patterns for detecting shimcache entries whose timestamp matches their insertion time
    -o, --output <OUTPUT>             The path to output the result csv file
    -a, --amcache <AMCACHE>           The path to the amcache artefact (Amcache.hve) for timeline enrichment
    -p, --tspair                      Enable near timestamp pair detection between shimcache and amcache for finding additional insertion timestamps for shimcache entries
    -h, --help                        Print help

--regexfileパラメーターの例のパターンファイルは、分析/shimcache_patterns.txtに含まれています。
正規表現パターンは、小文字に変換されたShimcacheエントリのパスで一致します。

コマンドの例

提供された修復パターンを使用してシムカッチアーチファクトを分析し、ペア検出の近くのタイムスタンプでAmcache濃縮を使用します。 CSVファイルへの出力。

 ./chainsaw analyse shimcache ./SYSTEM --regexfile ./analysis/shimcache_patterns.txt --amcache ./Amcache.hve --tspair --output ./output.csv

提供された修復パターン（Amcache濃縮なし）を使用して、Shimcacheアーティファクトを分析します。端子への出力。

 ./chainsaw analyse shimcache ./SYSTEM --regexfile ./analysis/shimcache_patterns.txt

srum（システムリソース使用モニター）

チェーンソーに実装されたSRUMデータベースパーサーは、テーブルに関するハードコード値に依存していないため、他のパーサーとは異なります。情報は、ソフトウェアハイブから直接抽出されます。これは必須の引数です。目標は、不明なテーブルに関連するエラーを回避することです。

 COMMAND:
    analyse srum                             Analyse the SRUM database

USAGE:
    chainsaw analyse srum [OPTIONS] --software <SOFTWARE_HIVE_PATH> <SRUM_PATH>

ARGUMENTS:
    <SRUM_PATH>                              The path to the SRUM database

OPTIONS:
    -s, --software <SOFTWARE_HIVE_PATH>      The path to the SOFTWARE hive
        --stats-only                         Only output details about the SRUM database
    -q                                       Suppress informational output
    -o, --output <OUTPUT>                    Save the output to a file
    -h, --help                               Print help

コマンドの例

SRUMデータベースを分析する（ソフトウェアハイブは必須です）

 ./chainsaw analyse srum --software ./SOFTWARE ./SRUDB.dat --output ./output.json

出力

 $ ./chainsaw analyse srum --software ./SOFTWARE ./SRUDB.dat -o ./output.json

     ██████╗██╗  ██╗ █████╗ ██╗███╗   ██╗███████╗ █████╗ ██╗    ██╗
    ██╔════╝██║  ██║██╔══██╗██║████╗  ██║██╔════╝██╔══██╗██║    ██║
    ██║     ███████║███████║██║██╔██╗ ██║███████╗███████║██║ █╗ ██║
    ██║     ██╔══██║██╔══██║██║██║╚██╗██║╚════██║██╔══██║██║███╗██║
    ╚██████╗██║  ██║██║  ██║██║██║ ╚████║███████║██║  ██║╚███╔███╔╝
     ╚═════╝╚═╝  ╚═╝╚═╝  ╚═╝╚═╝╚═╝  ╚═══╝╚══════╝╚═╝  ╚═╝ ╚══╝╚══╝
        By WithSecure Countercept (@FranticTyping, @AlexKornitzer)

    [+] ESE database file loaded from "/home/user/Documents/SRUDB.dat"
    [+] Parsing the ESE database...
    [+] SOFTWARE hive loaded from "/home/user/Documents/SOFTWARE"
    [+] Parsing the SOFTWARE registry hive...
    [+] Analysing the SRUM database...
    [+] Details about the tables related to the SRUM extensions:
    +------------------------------------------+--------------------------------------------+--------------------------------------+-------------------------+-------------------------+
    | Table GUID                               | Table Name                                 | DLL Path                             | Timeframe of the data   | Expected Retention Time |
    +------------------------------------------+--------------------------------------------+--------------------------------------+-------------------------+-------------------------+
    | {5C8CF1C7-7257-4F13-B223-970EF5939312}   | App Timeline Provider                      | %SystemRoot%System32eeprov.dll     | 2022-03-10 16:34:59 UTC | 7 days                  |
    |                                          |                                            |                                      | 2022-03-10 21:10:00 UTC |                         |
    +------------------------------------------+--------------------------------------------+--------------------------------------+-------------------------+-------------------------+
    | {B6D82AF1-F780-4E17-8077-6CB9AD8A6FC4}   | Tagged Energy Provider                     | %SystemRoot%System32eeprov.dll     | No records              | 3 days                  |
    +------------------------------------------+--------------------------------------------+--------------------------------------+-------------------------+-------------------------+
    | {D10CA2FE-6FCF-4F6D-848E-B2E99266FA86}   | WPN SRUM Provider                          | %SystemRoot%System32wpnsruprov.dll | 2022-03-10 20:09:00 UTC | 60 days                 |
    |                                          |                                            |                                      | 2022-03-10 21:09:00 UTC |                         |
    +------------------------------------------+--------------------------------------------+--------------------------------------+-------------------------+-------------------------+
    | {D10CA2FE-6FCF-4F6D-848E-B2E99266FA89}   | Application Resource Usage Provider        | %SystemRoot%System32appsruprov.dll | 2022-03-10 16:34:59 UTC | 60 days                 |
    |                                          |                                            |                                      | 2022-03-10 21:10:00 UTC |                         |
    +------------------------------------------+--------------------------------------------+--------------------------------------+-------------------------+-------------------------+
    | {FEE4E14F-02A9-4550-B5CE-5FA2DA202E37}   | Energy Usage Provider                      | %SystemRoot%System32energyprov.dll | No records              | 60 days                 |
    +------------------------------------------+--------------------------------------------+--------------------------------------+-------------------------+-------------------------+
    | {FEE4E14F-02A9-4550-B5CE-5FA2DA202E37}LT | Energy Usage Provider (Long Term)          | %SystemRoot%System32energyprov.dll | No records              | 1820 days               |
    +------------------------------------------+--------------------------------------------+--------------------------------------+-------------------------+-------------------------+
    | {973F5D5C-1D90-4944-BE8E-24B94231A174}   | Windows Network Data Usage Monitor         | %SystemRoot%System32nduprov.dll    | 2022-03-10 16:34:59 UTC | 60 days                 |
    |                                          |                                            |                                      | 2022-03-10 21:10:00 UTC |                         |
    +------------------------------------------+--------------------------------------------+--------------------------------------+-------------------------+-------------------------+
    | {7ACBBAA3-D029-4BE4-9A7A-0885927F1D8F}   | vfuprov                                    | %SystemRoot%System32vfuprov.dll    | 2022-03-10 20:09:00 UTC | 60 days                 |
    |                                          |                                            |                                      | 2022-03-10 21:10:00 UTC |                         |
    +------------------------------------------+--------------------------------------------+--------------------------------------+-------------------------+-------------------------+
    | {DA73FB89-2BEA-4DDC-86B8-6E048C6DA477}   | Energy Estimation Provider                 | %SystemRoot%System32eeprov.dll     | No records              | 7 days                  |
    +------------------------------------------+--------------------------------------------+--------------------------------------+-------------------------+-------------------------+
    | {DD6636C4-8929-4683-974E-22C046A43763}   | Windows Network Connectivity Usage Monitor | %SystemRoot%System32ncuprov.dll    | 2022-03-10 16:34:59 UTC | 60 days                 |
    |                                          |                                            |                                      | 2022-03-10 21:10:00 UTC |                         |
    +------------------------------------------+--------------------------------------------+--------------------------------------+-------------------------+-------------------------+
    [+] SRUM database parsed successfully
    [+] Saving output to "/home/user/Documents/output.json"
    [+] Saved output to "/home/user/Documents/output.json"

法医学的洞察

このアーティファクトに関連する新しい法医学的洞察に関する情報は、wiki：https：//github.com/withsecurelabs/chainsaw/wiki/srum-analysisにあります。

ダンピング

 USAGE:
    chainsaw dump [OPTIONS] <PATH>

ARGUMENTS:
    <PATH>                  The path to an artefact to dump

OPTIONS:
    -j, --json              Dump in json format
        --jsonl             Print the output in jsonl format
        --load-unknown      Allow chainsaw to try and load files it cannot identify
    -o, --output <OUTPUT>   A path to output results to
    -q                      Suppress informational output
        --skip-errors       Continue to hunt when an error is encountered
    -h, --help              Print help

コマンドの例

ソフトウェアハイブを捨てます

 ./chainsaw dump ./SOFTWARE.hve --json --output ./output.json

謝辞

@sbousseadenによるevtx-attack-samples
シグマ検出ルール
@obenamramによるevtxパーサーライブラリ
@AlexKornitzerによるTau Engine Library
CC-Driverプロジェクトの一部として開発されたShimcache Analysis機能は、欧州連合のHorizon 2020研究およびイノベーションプログラムが助成金契約No. 883543に基づいて資金提供されています。
Dfirartifactmuseum by Andrew Rathbun（@Bunsofwrath12）

拡大する