Event Tracing for Windows Internals
DAY 1
14:00-
14:40
ETW(Event Tracing for Windows)は、Windows OSの機能であり、アプリケーションやドライバーなどの動作に関するイベントを集約し、記録するための仕組みである。現在、ログ管理やセキュリティ監視に広く利用されている。しかし、昨今のセキュリティインシデントの調査において、Event Logに記録されるログだけでは十分な情報が得られないケースが増えている。そこで、より詳細なWindows OS上の情報を記録できる仕組みが求められている。
ETWは、Event Logよりも多くのアクティビティを記録する可能性を持っており、多くのEDR製品でETWを用いた監視が行われている。一方で、攻撃者はETWをバイパスする機能をマルウェアに組み込むことでEDR製品を回避する動きも見られる。
本講演では、ETWに焦点を当てて、ETWを利用したインシデントレスポンス手法やETWの機能をバイパスする方法について詳しく解説する。プレゼンテーションでは、まずETWの仕組みやファイルフォーマット、ETW構造体について説明する。次に、ETWを利用して不正なアクティビティを検知する方法、ETWを用いたフォレンジック手法について紹介し、現在マルウェアに利用されているETWバイパス手法についても解説する。最後に、われわれが作成したETWを使用したフォレンジックツールも紹介する。
このプレゼンテーションを通じて、ETWの深い理解とその活用方法を学び、システムやネットワークのセキュリティ向上に役立てることを目指す。
-
Location :
-
Track 3(Room 2)
-
-
Category :
-
Bluebox
-
-
Share :
Speakers
-
Shusei Tomonaga
朝長 秀誠
朝長 秀誠は、JPCERT/CCのインシデントレスポンスグループのメンバーである。2012年12月から、マルウェア分析およびフォレンジック調査に従事しており、特に日本の重要産業に影響を与える標的型攻撃の分析を主導している。彼はJPCERT/CCのブログ(https://blogs.jpcert.or.jp/en/)で、マルウェア分析や技術的な発見を頻繁に共有している。また、CODE BLUE、BsidesLV、Botconf、VB Conference、Hitcon、PHDays、PacSec、FIRST Conference、DEF CON、BlackHat USA Arsenalなど、数多くのカンファレンスで発表している。