by Dr. Radut

FCNS_RAR

FCNS_RARはEntropy値を活用してRARファイルをカービングするEnScriptです。

FCNS RAR 01

使い方

Caseを作成もしくはオープン後、調査対象を追加してから実行します。メニュー/オプションの内容は以下の通りです。

  • Target: カービング対象のファイル/オブジェクトの選択
    • Selected: ブルーチェックしたファイル/オブジェクト
    • Other: $LogFile, pagefile.sys, Unallocated Clusters, VSS: チェックボックスで対象を選択
  • Filtering Option: カービング時の挙動調節
    • Entropy Level (1.0-7.9): ファイルの終端とみなすエントロピーの基準値
    • Search only starting position of each sector: 各セクタの先頭からはじまるRARパターンのみを探索
  • Export: パース結果の出力場所を指定
    • LEF File: カービングしたデータをLEFとして出力する場所/ファイル名を指定
    • TSV File: カービングしたデータに関する情報の出力場所/ファイル名を指定
    • Add LEF to Current Case: 出力したLEFを現在のケースに追加

ダウンロード

FCNS_RAR_0.8.EnPack (SHA1: 5777967fcd61bdaf30141e702478131ffd591038)

ライセンス

個人、商用を問わず自由に利用することができますが、本ツールの利用により生じた問題については責任を負いかねます。

EnPack形式で公開していますがEnScript形式をご希望の方はお問合せください。

動作環境

EnCase 7.x

背景

企業等のネットワークに不正侵入した攻撃者は、持ち出すために集めたファイルをRAR形式で圧縮してC&Cサーバに転送し、転送後に削除するという方法を取ることがあります。通常のRARは目印となるヘッダ(\x52\x61\x72\x21\x1A\x07\x00)やフッタ(\xC4\x3E\x7B\x00\x40\x07\x00)がありますが、パスワードを設定して暗号化された場合にはフッタがこのパターンになりません。パスワードを設定することにより圧縮対象のファイル名を含め暗号化することができるため、パスワードを設定してRARが作成されている事例が多くあります。

例えばforemostやEnCaseのFile Carverはユーザがファイルサイズを設定して、ヘッダパターンに一致した位置から設定したファイルサイズ分をファイルとして取り出します。しかし、この動作ではサイズの設定値を小さくすると必要なデータが含まれず、大きくするとノイズが多数含まれる傾向にあります。

特徴

FCNS_RARはパスワード設定されたRARの終端を判断するために、エントロピー値を活用します。

はじめにカービング対象を以下のヘッダパターンで検索します。

\x52\x61\x72\x21\x1A\x07

ヘッダパターンに一致した位置から512バイト分のエントロピー値を計算します。エントロピーはランダムな度合いを示す指標であり、データが圧縮/暗号化されていればエントロピーは高くなる傾向にあります。FCNS_RARでは実行時のオプションで設定したEntropy Level以上であれば暗号化データが続いていると判断します。このように512バイト毎にエントロピー値を計算していき、Entropy Levelに満たなかった場合にはその範囲内でデータが終わっていると見なし、カービングの終端位置とします。

EnCaseではエントロピーを計算する機能が搭載されていて値は0〜8の範囲になりますが、暗号化したRAR内では任意の512バイトのエントロピー値は概ね7.5以上であったため、Entropy Levelのデフォルト値は7.35としています。

実行後、TSV Fileに指定したファイルにはカービングしたRARファイルのパース結果を記録します。

FCNS RAR 02

FirstEntropyはヘッダパターンを含む512バイトのエントロピー値、LastEntropyは終端とみなした512バイトのエントロピー値です。

カービングファイルが多数あった場合には、生成したLEFファイルに対してEvidence ProcessorのProtected file analysis等を実行することにより、暗号化されたRARや復元可能なファイルを素早く確認することができます。

FCNS RAR 03

参考情報

Cyber GRID View - vol.1 日本における標的型サイバー攻撃の事故実態調査レポート
http://www.lac.co.jp/security/report/pdf/20141216_cgview_vol1_d001t.pdf

Carving Station – RAR Files
http://www.mandiant.com/blog/carving-station-rar-files/

file_rar.c (PhotoRec)
http://git.cgsecurity.org/cgit/testdisk/tree/src/file_rar.c

RAR 5.0 archive format
http://www.rarlab.com/technote.htm