凌（しのぎ）です。マルウェアを用いる標的型攻撃では目的が果たされた後、痕跡を消去するアクティビティが見られます。イベントログを消去したり、マルウェア本体をシステムから消去したりします。そのため、情報漏えいが発覚した後での原因特定が困難になります。先日行われたSECCONというCTF（情報セキュリティの技術を競うイベント）に出てきた問題の解法を交えて、削除されたファイルの痕跡を追う方法をご紹介します。

■ファイルシステムに残る「削除」したという痕跡

Windowsで主流のファイルシステムであるNTFSは、MFTと呼ばれるすべてのファイルを管理しているマスターファイルテーブルというものがあります。通常は以下のパスに保存されています。

C:\$MFT

ファイルの作成、アクセス、変更、削除など、ファイルに対する操作を行うとMFTにその痕跡が残ります。したがって、マルウェアに感染した疑いのある端末がある場合は、このMFTを取得し、解析することによって、マルウェアのファイル名などを見つけることができます。

■SECCON2013オンライン予選フォレンジック200に出た問題

SECCONのフォレンジック200点の問題は「削除されたファイル」を問う問題で、Filesystem003.binというファイルがダウンロードできました。バイナリエディタで開くと、「FILE0」や「M.F.T」という文字列が表示されました。

このファイルが冒頭で説明したMFTそのものでした。ファイルエントリをCSVファイルに書き出す「MTF2CSV」というツールを利用して、解析しました。出力されたCSVをExcelで開き、「RecordActive」欄を「DELETED」でフィルターすると、削除されたファイルのファイル名が出てきました。

答えは「SkyhookParser.exe」でした。