Trusted Design

T1099 - Timestomp

概要

Adversaries may take actions to hide the deployment of new, or modification of existing files to obfuscate their activities. Timestomping is a technique that modifies the timestamps of a file (the modify, access, create, and change times), often to mimic files that are in the same folder. This is done, for example, on files that have been modified or created by the adversary so that they do not appear conspicuous to forensic investigators or file analysis tools. Timestomping may be used along with file name Masquerading to hide malware and tools. (Citation: WindowsIR Anti-Forensic Techniques)

管理者によるコメント

T1099「Timestomping」（タイムストンピング） は、攻撃者がファイルやディレクトリのタイムスタンプ（作成日時、更新日時など）を意図的に改ざんし、フォレンジック調査や検知を回避するテクニックです。

1. 概要

この手法で攻撃者は、「ファイルがいつ作成・変更されたかを隠蔽すること」を実現します。

何を実現できるのか:

*   **時系列分析の攪乱:** 攻撃者がシステムに侵入した時間帯と、マルウェアの作成日時を切り離し、調査員の注意を逸らします。
*   **信頼できるファイルへの擬態:** マルウェアの作成日時を、OSインストール時や正規ソフト（`explorer.exe`など）と同じ日時に書き換えることで、一見して「昔からある正規のファイル」のように見せかけます。
*   **スキャナーの回避:** 特定の日時以降に変更されたファイルをスキャン対象とするようなセキュリティツールの網をすり抜けます。

2. 攻撃の流れ

WindowsのNTFSファイルシステムでは、ファイルごとに複数のタイムスタンプ（$STANDARD_INFORMATION$ と $FILE_NAME$ 属性）が保持されています。

1. 侵入とツール配置: 攻撃者はマルウェア（例：evil.exe）をターゲットに配置します。この時点では、タイムスタンプは「現在の時刻」になっています。
2. ソース時刻の取得: システム内にある古い正規ファイル（例：kernel32.dll）のタイムスタンプを確認します。
3. 改ざんの実行: 特殊なツール（例：meterpreter の timestomp コマンドやカスタムスクリプト）を使用して、evil.exe の日時を kernel32.dll と同じ日時に上書きします。
4. 潜伏: 調査員が「最近作成された怪しいファイル」を探しても、evil.exe は数年前の日付になっているため、見落とされる可能性が高まります。

3. 防御・対策

表面的な日付を見るだけでは不十分なため、より深いレベルでの監査が必要です。

• MFT（マスターファイルテーブル）の解析: NTFSには複数のタイムスタンプ属性があります。多くのツールは片方しか書き換えないため、両者を比較して矛盾（MFTの変更日時とファイルの日時のズレ）がないかを確認します。
• ファイルシステムイベントの監視: EDRを使用して、ファイルのタイムスタンプを変更するAPI（SetFileInformationByHandle など）の不審な呼び出しを監視します。
• 整合性監視 (FIM): 重要なディレクトリ（System32 など）にあるファイルのタイムスタンプが、更新プログラムの適用以外で変更された場合にアラートを上げます。

4. 重要ポイント

• 不自然な「一致」: すべてのタイムスタンプ（作成、更新、アクセス）が秒単位まで完全に一致しているファイルは、Timestompingの痕跡である可能性が高いです。
• アンチ・フォレンジックの定番: 攻撃の痕跡を消す「Indicator Removal」の中でも、特に解析の初動を遅らせるために頻繁に使われる手法です。

5. 関連する主なCWE

• CWE-367: Time-of-check Time-of-use (TOCTOU) Race Condition: 直接の脆弱性ではありませんが、時間の管理に関する不備という点で概念的に関連します。
• CWE-471: Modification of Assumed-Immutable Data (想定される不変データの改ざん): 本来はシステムによって管理されるべき「記録（時間）」が、ユーザーによって変更可能であることによる問題。

6. 関連する代表的なCVE

TimestompingはOSの機能を悪用する「操作」であるため、これ自体に固有のCVEが割り振られることは稀ですが、マルウェアの機能として組み込まれます。

• CVE-2020-0601 (NSO CryptoAPI Vulnerability): タイムスタンプそのものではありませんが、ファイルの「署名」や「信頼性」を偽装する攻撃において、Timestompingと組み合わせて「古くからある信頼されたファイル」を装うケースがあります。
• APT関連: APT28やAPT29といった国家背景を持つ攻撃グループが、独自のルートキットやツールにTimestomping機能を搭載していることが知られています。

補足: プロの調査員は、ファイルのプロパティで見える日付だけでなく、OSのジャーナルログ（$UsnJrnl）などをチェックします。そこには「いつタイムスタンプが変更されたか」の記録が残っている場合があるため、攻撃者との「いたちごっこ」が続く領域です。

分析

この攻撃手法を利用する脅威アクター

• Magic Hound
• HEXANE
• APT29
• Gamaredon Group
• TA2541
• Lotus Blossom
• FIN13
• HAFNIUM
• Turla
• Volt Typhoon
• FIN8

関連する CVE

この攻撃手法に関連する CVE は登録されていません。

攻撃手法 – 脅威アクター Graph

---

← Technique一覧に戻る ← Tactics一覧に戻る