Kape Github - Module

Apps - Github

Hayabusa directory

• Hayabusa（ザックさんのやつ）を実行するやつ
• 不要かな？->やろう

RegRipper directory

• RegRipper をまわす
• あってもよい
• Kapeparser.sh に実装してもよい -> kape が楽かな

Volatility directory

• volatility をまわす
• これは local でよい

reg_hunter direcotry

• reg_hunter をまわす
• reg_hunter は複数の option が用意されており、registry に含まれる、IP address, email, script, shellcode などを探してくれる
• あってもなくてもよい。優先度は低
• とりあえず入れない。有効性判断は時間があるときにやってみようか
• reg_hunter で見ているレジストリをピックして reg_json_mito に取り込む

BMC-Tools_RDPBitmapCacheParser.mkape

• 名前の通り
• なくてよい

BitsParser.mkape

Image Not Showing Possible Reasons

• The image file may be corrupted
• The server hosting the image is unavailable
• The image path is incorrect
• The image format is not supported

Learn More →

• qmgr.db をパースするツール
• target への追加と module への追加はしたほうがよい

Bulk_extractor.mkape

• 名前の通り
• さすがに時間かかるしやらなくていい, local でよい

CCMRUAFinder_RecentlyUsedApps.mkape

• SCCM の app log を探すやつ
• 導入済み

Chainsaw.mkape

Image Not Showing Possible Reasons

• The image file may be corrupted
• The server hosting the image is unavailable
• The image path is incorrect
• The image format is not supported

Learn More →

• event log をルールや sigma で検索するツールらしい
• あってもよいかも。要検証

DHParser.mkape

Image Not Showing Possible Reasons

• The image file may be corrupted
• The server hosting the image is unavailable
• The image path is incorrect
• The image format is not supported

Learn More →

• windows defender の検知ログを解析するツール
• あってもよいかも。要検証

DeepblueCLI.mkape

Image Not Showing Possible Reasons

• The image file may be corrupted
• The server hosting the image is unavailable
• The image path is incorrect
• The image format is not supported

Learn More →

• SANS が出してる DeepBlueCLI という event log 解析ツール
• 要検証

EvtxHussar.mkape

Image Not Showing Possible Reasons

• The image file may be corrupted
• The server hosting the image is unavailable
• The image path is incorrect
• The image format is not supported

Learn More →

• EvtxHussar という event log 解析ツール
• 要検証

HatTrickFreenetParser.mkape

• Freenet という P2P ソフトウェアの情報を収集
• 不要

INDXRipper.mkape

Image Not Showing Possible Reasons

• The image file may be corrupted
• The server hosting the image is unavailable
• The image path is incorrect
• The image format is not supported

Learn More →

• $INDX attribute を live system で carving するツール
• これにより、削除されたファイルの macb timestamp が手に入る
• フルの領域。不要。
• 今後フル用のチェックリストを作った際に追加

LevelDBDumper.mkape

• LevelDB をサーチして、パースしてくれるツール
• Discord などの levelDB を使用しているアプリのアカウント情報などが手に入る
• 不要

Loki_LiveResponse.mkape, Loki_Scan.mkape

Image Not Showing Possible Reasons

• The image file may be corrupted
• The server hosting the image is unavailable
• The image path is incorrect
• The image format is not supported

Learn More →

• Loki(IOC, yara scanner)を live system に対して実行する
• IOC, yara scan は endpoint でやりたいと思っていたのでぜひ使いたい
• preset な yara rule が用意されているので検証したうえで include したい

ObsidianForensics_Hindsight.mkape

• Chrome history の parser
• すでに導入済み

OneDriveExplorer.mkape

Image Not Showing Possible Reasons

• The image file may be corrupted
• The server hosting the image is unavailable
• The image path is incorrect
• The image format is not supported

Learn More →

• onedrive の metadata ファイルの parser
• target とともに含める
• 取るは取るが、必須調査項目としては ファスト／フル 悩み中
• とりあえずファストで見てみて、実案件で有用性評価する

PowerShell_Get-ChainsawSigmaRules.mkape

• Chainsaw の sigmarule をダウンロードする
• これはツール提供側でやったほうがよい
• 不要

PowerShell_Get-DoSvc4n6.mkape

Image Not Showing Possible Reasons

• The image file may be corrupted
• The server hosting the image is unavailable
• The image path is incorrect
• The image format is not supported

Learn More →

• Delivery Optimization Service の ETL を parse することで、この端末がこれまでにどの Public IP を使っていたかが分かる(NICに割り振られていたものではなくて、Internet に出る際の出口NW機器の Public IP)
• https://forensenellanebbia.blogspot.com/2018/12/what-was-my-ip-ask-dosvc-on-windows-10.html
• これは入れたほうがいい

PowerShell_Get-InjectedThread.mkape

• 名前の通り
• すでに導入済み

PowerShell_Get-NetworkConnection.mkape

• 名前の通り
• 他に手段がたくさんあり、それらは導入済みなので不要

PowerShell_MFTECmd_J-MFTParsing.mkape

• 名前の通り
• 他に手段がたくさんあり、それらは導入済みなので不要

PowerShell_Move-KAPEConsoleHost_history.mkape

• 名前の通り
• target で導入ずみ

PowerShell_Netscan.mkape

• 名前の通り
• 他に手段がたくさんあり、それらは導入済みなので不要

PowerShell_Signed.mkape

• system32, syswow64 配下の sigcheck
• 導入ずみ

PowerShell_SrumECmd_SRUM-RepairAndParse.mkape

• 名前の通り
• 別の方法で導入ずみ

PowerShell_SumECmd_SUM-RepairAndParse.mkape

Image Not Showing Possible Reasons

• The image file may be corrupted
• The server hosting the image is unavailable
• The image path is incorrect
• The image format is not supported

Learn More →

• UAL の parser
• 導入する
• https://svch0st.medium.com/windows-user-access-logs-ual-9580f1100635

SEPparser.mkape

Image Not Showing Possible Reasons

• The image file may be corrupted
• The server hosting the image is unavailable
• The image path is incorrect
• The image format is not supported

Learn More →

• SEP log の parser
• 要否の判断がわからない
• 一旦要とする

SRUMDump.mkape

• 名前の通り
• 他の手段で導入済みなので不要

TeamsParser.mkape

Image Not Showing Possible Reasons

• The image file may be corrupted
• The server hosting the image is unavailable
• The image path is incorrect
• The image format is not supported

Learn More →

• Teams の DB parser
• 導入する
• 取るは取るが、必須調査項目としては ファスト／フル 悩み中
• とりあえずファストで見てみて、実案件で有用性評価する

ThumbCacheViewer.mkape

• Thubmcache viewer
• thumbcache は cyber attack の文脈ではあまり有用ではないので対象には含めない

VLSeeRecent_VLCRecentFiles.mkape

• VLC という video player の recent file の parser
• 聞いたこともないので不要

Velocidex_WinPmem.mkape

• winpmem
• 別の mkape で実装済み

Velociraptor_KapeTargetsCollectionRestoreTimestamps.mkape

• velociraptor で kape target を実行した際に timestamp を original のものに修復する
• velociraptor の文脈ではないので不要

WIFIPassView.mkape

• WiFi password を端末から取得する
• IR の文脈ではむしろ取ってはだめなので不要

WMI-Parser.mkape

• WMI object を parse して persistence をチェックするツール
• 他の方法で導入済みなので不要

Zircolite_Scan.mkape

Image Not Showing Possible Reasons

• The image file may be corrupted
• The server hosting the image is unavailable
• The image path is incorrect
• The image format is not supported

Learn More →

• evtx, auditd, sysmon に対する sigma base の detection tool
• 他にも同様のツールがあるので、それらと見比べる必要がある
• 要検証

Zircolite_Update.mkape

• zircolite の sigma rule を update するツール
• ツール提供側で実施すべきなので、不要

hasherezade_HollowsHunter.mkape

• injection や process hollowing を検知するツール
• 導入済み

iTunesBackupReader.mkape

• iTunes backup の parser
• 不要

log4j-scanner.mkape

• log4jの脆弱性有無を live でチェックするツール
• うーん、おもしろいが個々の脆弱性対応は際限がないので不要としよう

mimikatz_NTLMHashes.mkape

• Retrieve NTLM-hashes of all the user accounts
• 不要