Windowsテレメトリ内の隠されたフォレンジックデータ
最近のインシデント対応において、FortiGuardのIRサービスは高度なランサムウェア攻撃に対応しました。この攻撃では、脅威アクターが自身のデジタルフットプリントを消去するために、高度なアンチフォレンジック技術を展開していました。攻撃者たちはマルウェアを削除し、ログをクリアし、分析を防ぐためにツールを難読化しましたが、FortiGuardの研究者たちは画期的な発見をしました。それは、削除されたマルウェアや攻撃者ツールの履歴的な証拠が、**AutoLogger-Diagtrack-Listener.etl**という、WindowsのETW(Event Tracing for Windows)インフラストラクチャによって生成される目立たないWindows ETLファイル内に隠されていたことです。
Windows Event Tracing (ETW) のメカニズム
Event Tracing for Windowsは、Windowsに組み込まれた高性能なロギングフレームワークであり、最小限のシステムオーバーヘッドで詳細なイベント記録を可能にします。従来のプレーンテキストログとは異なり、ETWはカーネル、TCP/IPスタック、レジストリなどのプロバイダーからの構造化イベントデータを利用し、ETWセッションに供給します。これらのセッションは、リアルタイム消費のためにデータをバッファリングすることも、後で分析するためにバイナリEvent Trace Log (ETL) ファイルに書き込むこともできます。
ETWアーキテクチャは、以下の3つの主要コンポーネントで構成されています。
- **プロバイダー**: イベントソース(例:アプリケーション、OSコンポーネント)
- **コントローラー**: logmanなどのツールを通じてセッションを管理
- **コンシューマー**: EDR、デバッガー、イベントビューアなど、データを読み取り処理するエンティティ
現代のエンドポイント検出および対応ツール(EDR)は、この機能を活用し、ETWプロバイダーに直接サブスクライブしてリアルタイムの行動監視を行っています。
AutoLogger-Diagtrack-Listener.etlファイルの重要性
**AutoLogger-Diagtrack-Listener.etl**ファイルは通常、%ProgramData%\Microsoft\Diagnosis\ETLLogs\AutoLoggerに保存され、Connected User Experiences and Telemetry (DiagTrack) サービスからのテレメトリを記録します。このファイルの作成は、DiagTrackサービスが有効で診断データを収集しているかどうかに依存します。テレメトリロギングの冗長性は、AllowTelemetryレジストリキーを通じて設定できます。設定レベルは以下の通りです。
- Security (0:サーバーのデフォルト)
- Basic (1:最小限の収集)
- Enhanced (2:非推奨)
- Full (3:完全なキャプチャ)
デフォルトでは設定が0x1であり、ETLファイルが作成されることはほとんどありません。
決定的なフォレンジックの発見と実験
ディスクイメージ分析中、FortiGuardの研究者たちは、KernelProcess → ProcessStartedストリーム内でプロセス作成イベントを発見しました。これには、以前に実行されたバイナリのコマンドライン詳細を含む、貴重な履歴データが保持されていました。この画期的な発見により、調査員は削除されたマルウェアやツール(例:GMER(gomer.exeとして改名されたもの)や攻撃者が削除を試みた悪意のあるバッチファイル)の証拠を抽出することができました。
ファイルが生成される正確な条件を理解するため、FortiGuardはWindows Server 2022およびWindows 11システムで管理された実験を行いました。捕捉されたETWイベントは、プロセスID、親プロセスID、セッションID、実行可能パス、コマンドライン引数、ユーザーセキュリティ識別子、パッケージ情報といった重要なフォレンジック詳細を記録しました。これらのフィールドは、意図的な削除の試みにもかかわらず、攻撃者の実行チェーンを再構築する上で非常に貴重であることが証明されました。
研究者たちは、AllowTelemetryレジストリキーを最大冗長レベル(3 Full)に設定し、logmanコマンドを使用してAutoLogger-Diagtrack-Listener ETWセッションを開始および更新しました。しかし、実行とファイル作成は成功したにもかかわらず、結果のETLは空のままでした。これは、DiagTrackサービスがドキュメント化されていない内部トリガーを通じてデータ生成を制御している可能性を示唆しています。一貫したデータ生成の条件は依然として不明ですが、AutoLogger-Diagtrack-Listener.etlが適切にデータを取り込むことができれば、意図的な削除の試みを生き延びたプロセスの実行トレースを明らかにする、**重要なフォレンジックアーティファクト**として機能することが実証されました。
Fortinetの防御戦略
Fortinetの統合されたSecurity Fabricは、複数の層を通じてこのような攻撃に対抗します。**FortiEDR**は、カーネルレベルのエンドポイント監視を提供し、不正なプロセス起動や名前変更された管理ツールをリアルタイムで検出します。**FortiAnalyzer**と**FortiSIEM**は、ETWデータを含むネイティブWindowsテレメトリを取り込み、企業環境全体で疑わしいイベントの相関分析を可能にします。**FortiGuard Threat Intelligence**は、リアルタイムの更新によって検出機能を継続的に強化し、新たなマルウェアの亜種や回避技術を認識しブロックします。
Fortinetの統合プラットフォームを活用する組織は、ネットワーク、エンドポイント、テレメトリソース全体にわたる包括的な可視性を獲得し、高度なアンチフォレンジック攻撃に対抗するために必要なフォレンジックの深さを確保できます。