Kape Github - Module

# Kape Github - Module ## Apps - Github ### Hayabusa directory * Hayabusa（ザックさんのやつ）を実行するやつ * 不要かな？->やろう ### RegRipper directory * RegRipper をまわす * あってもよい * Kapeparser.sh に実装してもよい -> kape が楽かな ### Volatility directory * volatility をまわす * これは local でよい ### reg_hunter direcotry * reg_hunter をまわす * reg_hunter は複数の option が用意されており、registry に含まれる、IP address, email, script, shellcode などを探してくれる * あってもなくてもよい。優先度は低 * とりあえず入れない。有効性判断は時間があるときにやってみようか * reg_hunter で見ているレジストリをピックして reg_json_mito に取り込む ### BMC-Tools_RDPBitmapCacheParser.mkape * 名前の通り * なくてよい ### BitsParser.mkape :star: * qmgr.db をパースするツール * target への追加と module への追加はしたほうがよい ### Bulk_extractor.mkape * 名前の通り * さすがに時間かかるしやらなくていい, local でよい ### CCMRUAFinder_RecentlyUsedApps.mkape * SCCM の app log を探すやつ * 導入済み ### Chainsaw.mkape :star2: * event log をルールや sigma で検索するツールらしい * あってもよいかも。要検証 ### DHParser.mkape :star2: * windows defender の検知ログを解析するツール * あってもよいかも。要検証 ### DeepblueCLI.mkape :star2: * SANS が出してる DeepBlueCLI という event log 解析ツール * 要検証 ### EvtxHussar.mkape :star2: * EvtxHussar という event log 解析ツール * 要検証 ### HatTrickFreenetParser.mkape * Freenet という P2P ソフトウェアの情報を収集 * 不要 ### INDXRipper.mkape :stars: * $INDX attribute を live system で carving するツール * これにより、削除されたファイルの macb timestamp が手に入る * フルの領域。不要。 * 今後フル用のチェックリストを作った際に追加 ### LevelDBDumper.mkape * LevelDB をサーチして、パースしてくれるツール * Discord などの levelDB を使用しているアプリのアカウント情報などが手に入る * 不要 ### Loki_LiveResponse.mkape, Loki_Scan.mkape :star2: * Loki(IOC, yara scanner)を live system に対して実行する * IOC, yara scan は endpoint でやりたいと思っていたのでぜひ使いたい * preset な yara rule が用意されているので検証したうえで include したい ### ObsidianForensics_Hindsight.mkape * Chrome history の parser * すでに導入済み ### OneDriveExplorer.mkape :star: * onedrive の metadata ファイルの parser * target とともに含める * 取るは取るが、必須調査項目としてはファスト／フル悩み中 * とりあえずファストで見てみて、実案件で有用性評価する ### PowerShell_Get-ChainsawSigmaRules.mkape * Chainsaw の sigmarule をダウンロードする * これはツール提供側でやったほうがよい * 不要 ### PowerShell_Get-DoSvc4n6.mkape :star: * Delivery Optimization Service の ETL を parse することで、この端末がこれまでにどの Public IP を使っていたかが分かる(NICに割り振られていたものではなくて、Internet に出る際の出口NW機器の Public IP) * https://forensenellanebbia.blogspot.com/2018/12/what-was-my-ip-ask-dosvc-on-windows-10.html * これは入れたほうがいい ### PowerShell_Get-InjectedThread.mkape * 名前の通り * すでに導入済み ### PowerShell_Get-NetworkConnection.mkape * 名前の通り * 他に手段がたくさんあり、それらは導入済みなので不要 ### PowerShell_MFTECmd_J-MFTParsing.mkape * 名前の通り * 他に手段がたくさんあり、それらは導入済みなので不要 ### PowerShell_Move-KAPEConsoleHost_history.mkape * 名前の通り * target で導入ずみ ### PowerShell_Netscan.mkape * 名前の通り * 他に手段がたくさんあり、それらは導入済みなので不要 ### PowerShell_Signed.mkape * system32, syswow64 配下の sigcheck * 導入ずみ ### PowerShell_SrumECmd_SRUM-RepairAndParse.mkape * 名前の通り * 別の方法で導入ずみ ### PowerShell_SumECmd_SUM-RepairAndParse.mkape :star: * UAL の parser * 導入する * https://svch0st.medium.com/windows-user-access-logs-ual-9580f1100635 ### SEPparser.mkape :star: * SEP log の parser * 要否の判断がわからない * 一旦要とする ### SRUMDump.mkape * 名前の通り * 他の手段で導入済みなので不要 ### TeamsParser.mkape :star: * Teams の DB parser * 導入する * 取るは取るが、必須調査項目としてはファスト／フル悩み中 * とりあえずファストで見てみて、実案件で有用性評価する ### ThumbCacheViewer.mkape * Thubmcache viewer * thumbcache は cyber attack の文脈ではあまり有用ではないので対象には含めない ### VLSeeRecent_VLCRecentFiles.mkape * VLC という video player の recent file の parser * 聞いたこともないので不要 ### Velocidex_WinPmem.mkape * winpmem * 別の mkape で実装済み ### Velociraptor_KapeTargetsCollectionRestoreTimestamps.mkape * velociraptor で kape target を実行した際に timestamp を original のものに修復する * velociraptor の文脈ではないので不要 ### WIFIPassView.mkape * WiFi password を端末から取得する * IR の文脈ではむしろ取ってはだめなので不要 ### WMI-Parser.mkape * WMI object を parse して persistence をチェックするツール * 他の方法で導入済みなので不要 ### Zircolite_Scan.mkape :star2: * evtx, auditd, sysmon に対する sigma base の detection tool * 他にも同様のツールがあるので、それらと見比べる必要がある * 要検証 ### Zircolite_Update.mkape * zircolite の sigma rule を update するツール * ツール提供側で実施すべきなので、不要 ### hasherezade_HollowsHunter.mkape * injection や process hollowing を検知するツール * 導入済み ### iTunesBackupReader.mkape * iTunes backup の parser * 不要 ### log4j-scanner.mkape * log4jの脆弱性有無を live でチェックするツール * うーん、おもしろいが個々の脆弱性対応は際限がないので不要としよう ### mimikatz_NTLMHashes.mkape * Retrieve NTLM-hashes of all the user accounts * 不要