SRUM（ネットワーク等使用履歴）の調査方法【フォレンジック】

Windowsには、デフォルトでネットワーク履歴などを保存するアーティファクトがある。
表題のように、ネットワークリソースについてはもとより、そのほかにもいろいろな情報が保持されていて、フォレンジック調査において有用だ。

今回はこのアーティファクト「SRUM」について紹介してみる。

SRUMとは
NetworkUsageViewでの解析方法
SrumECmdでの解析方法
解析おまけ：ブラウザから送信したデータのSRUMへの反映確認
SRUMに関する個人的感想
- アーティファクトの有用性
- どちらのツールを使って解析するか
まとめ

SRUMとは

SRUMの概要

Windowsのリソースに関する履歴を保存するアーティファクトのこと。

ここでいうリソースとは、

ネットワーク
HDD
CPU
電源

などをいう。

SRUMアーティファクト自体はdatファイルとなっており、ESE形式のデータベース。
このファイル内に各リソースごとのテーブルがあるというスタイルになっている。

ただ、一度ESEのViewerで見てみるとよくわかるが、テーブル名が謎のGUIDとなっており（GUID自体は解読されているものの）なんだか調査しづらいので、解析時にはツールでパースするのがオススメ。

SRUMから何がわかるのか

SRUMからは多くのことがわかる。
代表として以下のものがある。

ネットワーク経由での送信バイト数、受信バイト数、接続時間、使用したネットワークインターフェース
アプリケーションの起動時間や起動したユーザ
バックグラウンドでの読み込み・書き込みバイト数
フォアグラウンドでの読み込み・書き込みバイト数
使用電力
プッシュ通知の日時や通知種別

このほかにもあるので、実際に触ってみると面白いかもしれない。

SRUMの活用方法

SRUMの解析では、上に挙げた情報をプロセス毎に抽出できる。（電力だけは無理）

そのため、実際のインシデントレスポンスでは

不審プロセスによる外部通信の量はどのくらいか
読込みや書き込みが以上に多いプロセスはないか
バックグラウンドで大量に情報を読み込んだプロセスがないか

といった観点から調査を行うこともできる。（とはいっても実際にやるとこれはかなり大変だが）

これだけ聞くと、「素晴らしいアーティファクトじゃないか！」となるが、１点だけ残念なことがある。

結構ザックリしているのだ。

どういうことかというと、このDBはプロセスの活動があるたびに更新されるものではなく、一定時間情報を取りためて後からまるごとコミットする方式をとっていることが原因となっている。
このコミット方式により、DB内に記録される発生日時は、通信や読み書きが発生した時間ではなく、DBにコミットされた時間になってしまうのだ。（だいたい20～30分おき、長いと1時間おきにコミット）
さらに追い打ちをかけるように、通信量など定量的データは１つのデータ列としてまとめコミットされるという欠点もある。

えっどういうこと？となるかもしれないので、具体例を挙げてみる。

例えば、13:30～14:00に10回に分けてそれぞれ10KBを送信したプロセスがあり、14:05にDBにコミットしたとする。
これがまとめコミットにより、DB上では「14:05に10KB送信した」となってしまうのだ。
これでは、一定時間内の通信総量を把握することはできるが、個別の通信の状況までは追うことはできない。
ということ。

こういうところちょっと使いづらかったりする。
とはいえ、EDRが入っていなかったりプロキシがないなど、後から通信を追跡できない環境であった場合、限定的であっても通信データがわかるというのは、調査においてはものすごい価値がある。

こんな感じなので、SRUMはなんというか、致命的な弱点を持った超優秀アーティファクトのようなイメージか。

アーティファクトの保存場所

SRUMのdatファイルは以下のパスにある。

C:\Windows\System32\SRU\SRUDB.dat

また、解析には追加でレジストリのSoftwareハイブを使用することがある。
Softwareハイブには、ネットワークインターフェースの情報が含まれているためである。

SOFTWARE\Microsoft\Windows NT\CurrentVersion\SRUM\Extensions

NetworkUsageViewでの解析方法

NetworkUsageViewの概要

これはNirsoftが提供しているフリーツール。

端末上で実行するだけで、SRUMとSoftwareハイブを組み合わせて解析してくれるので楽ちん。

セキュリティベンダーの提供するツールなので信頼性も高い。

ツールのインストール方法

窓の社で配信されている。
下のリンクからダウンロードできる。

窓の杜

「NetworkUsageView」システム全体のネットワーク利用状況を閲覧

ダウンロードが完了すれば、後は実行するだけ。
特別な環境づくりも必要ない。

解析の実施

多くの人はとりあえず実行して以下のように怒られることだろう。
実行には管理者権限が必要なので、再実行する。

管理者権限で実行するとすぐに解析結果が表示される。

上の画面から右のほうにスクロールしていくと、送受信バイトなどがでてくる。

どうでもいいが、項目をダブルクリックすればこういう結果画面がでる。
Nirsoftはなぜかこういうスタイルがお好きのよう。

NetworkUsageViewについてはこのくらいで。

SrumECmdでの解析方法

SrumECmdの概要

皆さんお待ちかね！
サイバーセキュリティ業界で知らぬ者のいない有名ディベロッパー「Eric Zimmerman」。

SrumECmdはEric製のツール。
コマンドラインで実行するスタイルだが、使い勝手もよく、情報量も多い。

ツールのインストール方法

いつものこのサイトからダウンロードする。

Eric Zimmerman's tools

exe形式のツールなので、特に環境づくりは必要ない。

解析の実施

ダウンロードした後は、コマンドプロンプト（管理者権限）から実行する。

-dオプションでSRUMのデフォルトディレクトリを指定。さらに–csvで出力先を指定。

今回は省略したが、大事なものとして-rオプションがあり、これはSoftwareハイブを指定する。
ちょっと検証不足だが、おそらくDirtyハイブでは正確性が下がるので、LogをマージしてCleanにする必要があるのだろう。
とはいっても、ネットワークインターフェースの情報(L2Profileなど）の調査が不要であれば、わざわざハイブを整える手間をかける必要もない。