【CODE BLUE 2024】朝長 秀誠 / Shusei Tomonaga - 講演関連資料 / Presentation resources -
●講演概要 / Abstract
[ja] Event Tracing for Windows Internals
ETW(Event Tracing for Windows)は、Windows OSの機能であり、アプリケーションやドライバーなどの動作に関するイベントを集約し、記録するための仕組みである。現在、ログ管理やセキュリティ監視に広く利用されている。しかし、昨今のセキュリティインシデントの調査において、Event Logに記録されるログだけでは十分な情報が得られないケースが増えている。そこで、より詳細なWindows OS上の情報を記録できる仕組みが求められている。
ETWは、Event Logよりも多くのアクティビティを記録する可能性を持っており、多くのEDR製品でETWを用いた監視が行われている。一方で、攻撃者はETWをバイパスする機能をマルウェアに組み込むことでEDR製品を回避する動きも見られる。
本講演では、ETWに焦点を当てて、ETWを利用したインシデントレスポンス手法やETWの機能をバイパスする方法について詳しく解説する。プレゼンテーションでは、まずETWの仕組みやファイルフォーマット、ETW構造体について説明する。次に、ETWを利用して不正なアクティビティを検知する方法、ETWを用いたフォレンジック手法について紹介し、現在マルウェアに利用されているETWバイパス手法についても解説する。最後に、われわれが作成したETWを使用したフォレンジックツールも紹介する。
このプレゼンテーションを通じて、ETWの深い理解とその活用方法を学び、システムやネットワークのセキュリティ向上に役立てることを目指す。
[en] Event Tracing for Windows Internals
ETW (Event Tracing for Windows) is a feature of Windows OS that aggregates and records events related to the operations of applications and drivers. It is widely used for log management and security monitoring. However, in recent security incident investigations, logs recorded in the Event Log alone are often insufficient to provide adequate information. Therefore, there is a growing demand for mechanisms that can record more detailed information on Windows OS.
ETW has the potential to record more activities than the Event Log and is used for monitoring by many EDR products. On the other hand, attackers are incorporating functions to bypass ETW into malware to evade EDR products.
This session will provide a detailed explanation of incident response techniques using ETW and methods to bypass ETW functions. The presentation will first explain the mechanism of ETW, file formats, and ETW structures. Then, methods to detect malicious activities as well as forensic techniques using ETW will be introduced. In addition, current ETW bypass methods used in malware will also be explained. Finally, the session will cover methods to protect systems from ETW bypass techniques and introduce tools that the speakers have developed for incident response using ETW.
●略歴 / Bio
[ja] 朝長 秀誠
朝長 秀誠は、JPCERT/CCのインシデントレスポンスグループのメンバーである。2012年12月から、マルウェア分析およびフォレンジック調査に従事しており、特に日本の重要産業に影響を与える標的型攻撃の分析を主導している。彼はJPCERT/CCのブログ(https://blogs.jpcert.or.jp/en/)で、マルウェア分析や技術的な発見を頻繁に共有している。また、CODE BLUE、BsidesLV、Botconf、VB Conference、Hitcon、PHDays、PacSec、FIRST Conference、DEF CON、BlackHat USA Arsenalなど、数多くのカンファレンスで発表している。
[en] Shusei Tomonaga
Shusei Tomonaga is a member of the Incident Response Group of JPCERT/CC. Since December 2012, he has been engaged in malware analysis and forensic investigation. In particular, he spearheads the analysis of targeted attacks affecting critical Japanese industries. He often shares his malware analysis and technical findings on JPCERT/CC’s blog (https://blogs.jpcert.or.jp/en/). He has presented at CODE BLUE, BsidesLV, Botconf, VB Conference, Hitcon, PHDays, PacSec, FIRST Conference, DEF CON, BlackHat USA Arsenal and more.
●事前インタビュー / Pre-Event Interview
[ja] インタビュー
Q1 あなたがこのトピックに取り組むようになったきっかけは何ですか?
Windows上でのログ調査には一般的にイベントログが使用されますが、イベントログはインシデント調査に特化した機能ではないため、調査に必要な十分なログが記録されていないことが多くあります。
そのため、イベントログに代わる別のソリューションが必要という思いからWindowsの機能であるEvent Tracing for Windows
( ETW )の調査を始めました。
ETWは、Windows内で発生するあらゆるイベントをコントロールし、蓄積する機能であり、イベントログよりも多くのアクティビティを収集できる可能性を持っています。
この機能を活用すれば、より高度なセキュリティ対策を実現できるかもしれません。
Q2 研究の過程でどのような点で苦労しましたか?
ETWをインシデント調査に活用するアプローチはこれまでほとんどなく、またETWの内部構造はドキュメント化されていない部分も多くあったため、それらの調査には時間がかかりました。今回は、以下の観点でETWの調査を実施しました。
* ETW内部構造の調査
* ETWを用いた攻撃検知
* ETWを利用したフォレンジック
* ETW Bypassと対策
Q3 CODEBLUEの参加者、参加を検討している人に向けてメッセージをお願いします。
Windowsのセキュリティ対策でもっと他にできることはないかということをお考えの方には、本プレゼンテーションが参考になるかもしれません。
また、CODE BLUEは普段意識することがなかったり、専門外な話を聞いて新しい気付きを得ることができる貴重な場所だと思っています。CODE BLUEに参加して、いろんなものを吸収してみてください。
[en] Interview
Q1 What led you to making this presentation?
For log investigations on Windows, event logs are commonly used. However, since event logs are not specifically designed for incident investigations, they often do not record enough information needed for a thorough investigation. With that in mind, I began researching Event Tracing for Windows ( ETW ),
a feature in Windows, as an alternative solution to event logs. ETW has the capability to control and accumulate all events that occur within Windows, and it has the potential to capture more activities than event logs. By utilizing this feature, it might be possible to implement more advanced security measures.
Q2 What were some challenges you faced during this research?
The approach of utilizing ETW for incident investigation has been rarely explored, and much of ETW’s internal structure remains undocumented, which made the research time-consuming. In this presentation, I conducted research on ETW from the following perspectives:
・Investigation of ETW’s internal structure
・Attack detection using ETW
・Forensics using ETW
・ETW bypass techniques and countermeasures
Q3 What message would you like to convey to those considering attending this talk?
If you're looking for additional ways to enhance Windows security, this presentation might be helpful for you. I also believe that CODE BLUE is a valuable opportunity to gain new insights by hearing about topics that you may not usually consider or that are outside your area of expertise. I encourage you to participate in CODE BLUE and absorb as much as you can.
●講演動画 / Presentation video
●講演スライド / Presentation slide
(Click the image to open the PDF via an external link)
●写真 / Photo
●レポート記事 / Reports
[ja] [レポート]Event Tracing for Windows Internals– CODE BLUE 2024(Developers IO / クラスメソッド)