Pseudo-malware for EDR detection tests and CSIRT training using EDR
I'm sorry; I'll explain this repository in English later.
このリポジトリにある疑似マルウェアは、ウェブサーバに置かれたマルウェアを誤って実行してしまったことを想定したEDRの検知テストとEDRを用いたCSIRT訓練に使うことができます。
この疑似マルウェアはアンチウィルスで検知されないように作られています。また、情報を読み取りアップロードをするように作られていますが、ウェブサーバ側で受入れプログラムを動かさない限り、アップロードは失敗しデータは捨てられます。疑似マルウェアを置いたディレクトリにいくつかのファイルを追加する以外にシステムの変更をすることはありません。
この疑似マルウェアはシステムの安全に配慮して作られていますが、それを保証するものではありません。特に疑似マルウェアの改変を行いたい場合は各自の自己責任でお願いします。この疑似マルウェアを用いて試験をする端末は、普段使っている端末ではなく、試験専用の端末を利用することを強く勧めます。
- ウェブサーバにこのリポジトリのすべてのファイルを置きます。ここでは http://example.com/PseudoMalware に置いたと仮定します。
- ウェブサーバに置いた downloader.bat の2行目の 環境変数 PseudoMalwareURL が指す URL を自分たちが使うウェブサーバのURLに変更します。
- 適当なウェブブラウザから http://example.com/PseudoMalware/download.bat をアクセスし、ダウンロードします。
- download.batを実行します。
- ターミナルウィンドウが開き、いくつかのpowershellスクリプトをダウンロードしながら、実行を試みます。
- 実行が終了すると「続行するには何かキーを教えてください」と表示されるので、適当なキーを押してターミナルウィンドウを閉じます。
uploader.psm1とact[1-5].psm1があります。act[1-5].psm1を順番にダウンロードし、実行します。
- uploader.psm1: 指定されたファイルをウェブサーバにアップロードします。ウェブサーバ側で受け入れ準備がされていなければ、アップロードは失敗します。act[1-5].psm1の実行結果をアップロードするために使います。
- act1.psm1: Get-ComputerInfoを用いて、ローカルコンピュータの情報を取得します。
- act2.psm1: Get-NetNeighborを用いて、ネットワーク上の隣接コンピュータの情報を取得します。
- act3.psm1: C:\Windows\system.iniファイルを読み取ります。
- act4.psm1: レジストリ HLKM:\SAM\SAM, HKLM:\SECURITY の情報を取得します。管理者権限がなければ失敗します。
- act5.psm1: プロセス lsass.exe のメモリダンプを取得します。管理者権限がなければ失敗します。 https://download.sysinternals.com/ から Procdump.zip をダウンロードし、利用します。
MIT License.