├── README.md ├── css ├── bootstrap.min.css ├── bootstrap.min.js └── dashboard.css ├── details ├── AceHash.htm ├── BITS.htm ├── BeginX.htm ├── FakeWpad.htm ├── Find-GPOPasswords.htm ├── Htran.htm ├── MS14-058.htm ├── MS14-068.htm ├── MS15-078.htm ├── Mimikatz_GoldenTicket.htm ├── Mimikatz_SilverTicket.htm ├── Mimikatz_lsadump-sam.htm ├── Mimikatz_sekurlsa-logonpasswords.htm ├── Mimikatz_sekurlsa-tickets.htm ├── PWDumpX.htm ├── PowerMemory.htm ├── PowerSploit_GetGPPPassword.htm ├── PowerSploit_Invoke-Mimikatz.htm ├── PowerSploit_Out-Minidump.htm ├── PsExec.htm ├── PwDump7.htm ├── QuarksPWDump.htm ├── RemoteLogin-Mimikatz.htm ├── RemoteLogin-WCE.htm ├── SDB-UAC-Bypass.htm ├── WCE.htm ├── WebBrowserPassView.htm ├── WinRM.htm ├── WinRS.htm ├── common │ ├── script.js │ └── style.css ├── csvde.htm ├── dcdiag.htm ├── dsquery.htm ├── gsecdump.htm ├── klist-purge.htm ├── ldifde.htm ├── lslsass.htm ├── mstsc.htm ├── net-use.htm ├── net-user.htm ├── nltest.htm ├── nmap.htm ├── ntdsutil.htm ├── schtasks.htm ├── sdelete.htm ├── timestomp.htm ├── vssadmin.htm ├── wevtutil.htm ├── wmic.htm └── wmiexec-vbs.htm ├── index.html ├── js ├── bootstrap.min.js └── jquery.min.js ├── overview.html └── tool-list.html /README.md: -------------------------------------------------------------------------------- 1 | # ツール分析結果シート 2 | このレポジトリは、攻撃者がネットワーク内に侵入後に利用する可能性が高いツール、コマンドを調査し、それらを実行した際にどのような痕跡がWindows OS上に残るのかを検証した結果の詳細をまとめています。 3 | ツール分析結果シートはHTMLで作成されており、以下のURLから確認することが可能です。 4 | 5 | https://jpcertcc.github.io/ToolAnalysisResultSheet_jp/ 6 | 7 | また本調査の概要、使用方法などをまとめた報告書を、以下で公開しています。 8 | 9 | [インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書 (第2版)](https://www.jpcert.or.jp/research/ir_research.html) 10 | 11 | ツール分析結果シートを使用する際は、一度報告書をご確認いただくことをお勧めします。 12 | -------------------------------------------------------------------------------- /css/dashboard.css: -------------------------------------------------------------------------------- 1 | /* 2 | * Base structure 3 | */ 4 | 5 | /* Move down content because we have a fixed navbar that is 50px tall */ 6 | body { 7 | padding-top: 50px; 8 | } 9 | 10 | /* 11 | * Typography 12 | */ 13 | 14 | h1 { 15 | margin-bottom: 20px; 16 | padding-bottom: 9px; 17 | border-bottom: 1px solid #eee; 18 | } 19 | 20 | /* 21 | * Sidebar 22 | */ 23 | 24 | .sidebar { 25 | position: fixed; 26 | top: 51px; 27 | bottom: 0; 28 | left: 0; 29 | z-index: 1000; 30 | padding: 10px; 31 | overflow-x: hidden; 32 | overflow-y: auto; /* Scrollable contents if viewport is shorter than content. */ 33 | border-right: 1px solid #eee; 34 | background-color: #c0c0c0; 35 | } 36 | 37 | /* Sidebar navigation */ 38 | .sidebar { 39 | padding-left: 0; 40 | padding-right: 0; 41 | } 42 | 43 | .sidebar .nav { 44 | margin-bottom: 10px; 45 | font-weight: bold; 46 | color: #fffafa; 47 | } 48 | 49 | .sidebar .nav-item { 50 | width: 100%; 51 | padding: 0px 0px 0px 10px; 52 | font-weight: normal; 53 | } 54 | 55 | .sidebar .nav-item + .nav-item { 56 | margin-left: 0; 57 | } 58 | 59 | .sidebar .nav-link { 60 | border-radius: 0; 61 | } 62 | 63 | /* 64 | * Dashboard 65 | */ 66 | 67 | /* Placeholders */ 68 | .placeholders { 69 | padding-bottom: 3rem; 70 | } 71 | 72 | .placeholder img { 73 | padding-top: 1.5rem; 74 | padding-bottom: 1.5rem; 75 | } 76 | -------------------------------------------------------------------------------- /details/MS14-058.htm: -------------------------------------------------------------------------------- 1 | 2 | 3 |
4 | 5 |項目 | 41 |内容 | 42 |
---|---|
ドメインへの所属 | 47 |不要 | 48 |
OS | 51 |Windows 7 | 52 |
権限 | 55 |標準ユーザー | 56 |
# | 92 |ログ | 93 |イベントID | 94 |タスクのカテゴリ | 95 |イベント内容 | 96 |
---|---|---|---|---|
1 | 101 |Microsoft-Windows-Sysmon/Operational | 102 |1 | 103 |Process Create (rule: ProcessCreate) | 104 |Process Create.
|
111 |
2 | 114 |Microsoft-Windows-Sysmon/Operational | 115 |1 | 116 |Process Create (rule: ProcessCreate) | 117 |Process Create.
|
128 |
3 | 131 |セキュリティ | 132 |4689 | 133 |プロセス終了 | 134 |プロセスが終了しました。
|
141 |
# | 149 |パス | 150 |ヘッダフラグ | 151 |有効 | 152 |
---|---|---|---|
1 | 157 |[ドライブ名]:\Windows\Prefetch\[検体の実行ファイル]-[文字列].pf | 158 |FILE | 159 |ALLOCATED | 160 |
# | 172 |ファイル名 | 173 |処理 | 174 |
---|---|---|
1 | 179 |[検体の実行ファイル]-[文字列].pf | 180 |CLOSE+DATA_EXTEND+FILE_CREATE | 181 |
# | 195 |イベントログ | 196 |イベントID | 197 |タスクのカテゴリ | 198 |イベント内容 | 199 |
---|---|---|---|---|
1 | 204 |Microsoft-Windows-Sysmon/Operational | 205 |1 | 206 |Process Create (rule: ProcessCreate) | 207 |Process Create.
|
220 |
セキュリティ | 224 |4688 | 225 |プロセス作成 | 226 |新しいプロセスが作成されました。
|
235 | |
2 | 238 |Microsoft-Windows-Sysmon/Operational | 239 |1 | 240 |Process Create (rule: ProcessCreate) | 241 |Process Create.
|
255 |
セキュリティ | 259 |4688 | 260 |プロセス作成 | 261 |新しいプロセスが作成されました。
|
272 | |
3 | 275 |Microsoft-Windows-Sysmon/Operational | 276 |10 | 277 |Process accessed (rule: ProcessAccess) | 278 |Process accessed.
|
285 |
4 | 288 |Microsoft-Windows-Sysmon/Operational | 289 |11 | 290 |File created (rule: FileCreate) | 291 |File created.
|
297 |
セキュリティ | 301 |4656/4663 | 302 |ファイル システム | 303 |オブジェクトに対するハンドルが要求されました。 / オブジェクトへのアクセスが試行されました。
|
314 | |
5 | 317 |Microsoft-Windows-Sysmon/Operational | 318 |5 | 319 |Process terminated (rule: ProcessTerminate) | 320 |Process terminated.
|
325 |
セキュリティ | 329 |4689 | 330 |プロセス終了 | 331 |プロセスが終了しました。
|
340 |
# | 350 |パス | 351 |ヘッダフラグ | 352 |有効 | 353 |
---|---|---|---|
1 | 358 |[ドライブ名]:\Windows\Prefetch\[検体の実行ファイル]-[文字列].pf | 359 |FILE | 360 |ALLOCATED | 361 |
# | 371 |Prefetchファイル | 372 |プロセス名 | 373 |プロセスパス | 374 |ログから得られる情報 | 375 |
---|---|---|---|---|
1 | 380 |[検体の実行ファイル]-[文字列].pf | 381 |[検体の実行ファイル] | 382 |[検体のパス] | 383 |Last Run Time (最終実行日時) | 384 |
# | 394 |ファイル名 | 395 |処理 | 396 |属性 | 397 |
---|---|---|---|
1 | 402 |[検体の実行ファイル]-[文字列].pf | 403 |FILE_CREATE | 404 |archive+not_indexed | 405 |
[検体の実行ファイル]-[文字列].pf | 409 |DATA_EXTEND+FILE_CREATE | 410 |archive+not_indexed | 411 ||
[検体の実行ファイル]-[文字列].pf | 415 |CLOSE+DATA_EXTEND+FILE_CREATE | 416 |archive+not_indexed | 417 |
項目 | 41 |内容 | 42 |
---|---|
OS | 47 |Windows | 48 |
権限 | 51 |管理者ユーザー | 52 |
ドメインへの所属 | 55 |不要 | 56 |
# | 93 |ログ | 94 |イベントID | 95 |タスクのカテゴリ | 96 |イベント内容 | 97 |
---|---|---|---|---|
1 | 102 |Microsoft-Windows-Sysmon/Operational | 103 |1 | 104 |Process Create (rule: ProcessCreate) | 105 |Process Create.
|
112 |
2 | 115 |Microsoft-Windows-Sysmon/Operational | 116 |10 | 117 |Process accessed (rule: ProcessAccess) | 118 |Process accessed.
|
124 |
# | 142 |イベントログ | 143 |イベントID | 144 |タスクのカテゴリ | 145 |イベント内容 | 146 |
---|---|---|---|---|
1 | 151 |Microsoft-Windows-Sysmon/Operational | 152 |1 | 153 |Process Create (rule: ProcessCreate) | 154 |Process Create.
|
168 |
セキュリティ | 172 |4688 | 173 |プロセス作成 | 174 |新しいプロセスが作成されました。
|
185 | |
2 | 188 |セキュリティ | 189 |4673 | 190 |重要な特権の使用 | 191 |特権のあるサービスが呼び出されました。
|
198 |
3 | 201 |Microsoft-Windows-Sysmon/Operational | 202 |11 | 203 |File created (rule: FileCreate) | 204 |File created.
|
210 |
セキュリティ | 214 |4656 | 215 |ファイル システム / その他のオブジェクト アクセス イベント | 216 |オブジェクトに対するハンドルが要求されました。
|
226 | |
セキュリティ | 230 |4663 | 231 |ファイル システム | 232 |オブジェクトへのアクセスが試行されました。
|
243 | |
セキュリティ | 247 |4658 | 248 |ファイル システム | 249 |オブジェクトに対するハンドルが閉じました。
|
256 | |
4 | 259 |セキュリティ | 260 |4703 | 261 |Token Right Adjusted Events | 262 |A token right was adjusted.
|
272 |
Microsoft-Windows-Sysmon/Operational | 276 |10 | 277 |Process accessed (rule: ProcessAccess) | 278 |Process accessed.
|
285 | |
5 | 288 |Microsoft-Windows-Sysmon/Operational | 289 |5 | 290 |Process terminated (rule: ProcessTerminate) | 291 |Process terminated.
|
296 |
セキュリティ | 300 |4689 | 301 |プロセス終了 | 302 |プロセスが終了しました。
|
310 |
# | 320 |パス | 321 |ヘッダフラグ | 322 |有効 | 323 |
---|---|---|---|
1 | 328 |[ドライブ名]:\Windows\Prefetch\[検体実行ファイル名]-[文字列].pf | 329 |FILE | 330 |ALLOCATED | 331 |
# | 341 |Prefetchファイル | 342 |プロセス名 | 343 |プロセスパス | 344 |ログから得られる情報 | 345 |
---|---|---|---|---|
1 | 350 |C:\Windows\Prefetch\[検体実行ファイル名]-[文字列].pf | 351 |[検体実行ファイル名] | 352 |[検体パス] | 353 |Last Run Time (最終実行日時) | 354 |
# | 364 |ファイル名 | 365 |処理 | 366 |属性 | 367 |
---|---|---|---|
1 | 372 |[検体実行ファイル名]-[文字列].pf | 373 |FILE_CREATE | 374 |archive+not_indexed | 375 |
[検体実行ファイル名]-[文字列].pf | 379 |DATA_EXTEND+FILE_CREATE | 380 |archive+not_indexed | 381 ||
[検体実行ファイル名]-[文字列].pf | 385 |CLOSE+DATA_EXTEND+FILE_CREATE | 386 |archive+not_indexed | 387 |
項目 | 41 |内容 | 42 |
---|---|
OS | 47 |Windows | 48 |
ドメインへの所属 | 51 |不要 | 52 |
権限 | 55 |管理者ユーザー | 56 |
# | 92 |ログ | 93 |イベントID | 94 |タスクのカテゴリ | 95 |イベント内容 | 96 |
---|---|---|---|---|
1 | 101 |Microsoft-Windows-Sysmon/Operational | 102 |1 | 103 |Process Create (rule: ProcessCreate) | 104 |Process Create.
|
111 |
2 | 114 |セキュリティ | 115 |4689 | 116 |プロセス終了 | 117 |プロセスが終了しました。
|
124 |
# | 132 |パス | 133 |ヘッダフラグ | 134 |有効 | 135 |
---|---|---|---|
1 | 140 |[ドライブ名]:\Windows\Prefetch\[検体の実行ファイル名]-[文字列].pf | 141 |FILE | 142 |ALLOCATED | 143 |
# | 155 |ファイル名 | 156 |処理 | 157 |
---|---|---|
1 | 162 |[検体の実行ファイル名]-[文字列].pf | 163 |CLOSE+DATA_EXTEND+FILE_CREATE | 164 |
# | 178 |イベントログ | 179 |イベントID | 180 |タスクのカテゴリ | 181 |イベント内容 | 182 |
---|---|---|---|---|
1 | 187 |Microsoft-Windows-Sysmon/Operational | 188 |1 | 189 |Process Create (rule: ProcessCreate) | 190 |Process Create.
|
202 |
セキュリティ | 206 |4688 | 207 |プロセス作成 | 208 |新しいプロセスが作成されました。
|
219 | |
2 | 222 |Microsoft-Windows-Sysmon/Operational | 223 |5 | 224 |Process terminated (rule: ProcessTerminate) | 225 |Process terminated.
|
230 |
セキュリティ | 234 |4689 | 235 |プロセス終了 | 236 |プロセスが終了しました。
|
244 | |
3 | 247 |Microsoft-Windows-Sysmon/Operational | 248 |11 | 249 |File created (rule: FileCreate) | 250 |File created.
|
256 |
セキュリティ | 260 |4656 | 261 |ファイル システム / その他のオブジェクト アクセス イベント | 262 |オブジェクトに対するハンドルが要求されました。
|
272 | |
セキュリティ | 276 |4663 | 277 |ファイル システム | 278 |オブジェクトへのアクセスが試行されました。
|
288 | |
セキュリティ | 292 |4658 | 293 |ファイル システム | 294 |オブジェクトに対するハンドルが閉じました。
|
301 |
# | 311 |パス | 312 |ヘッダフラグ | 313 |有効 | 314 |
---|---|---|---|
1 | 319 |[ドライブ名]:\Windows\Prefetch\[検体の実行ファイル名]-[文字列].pf | 320 |FILE | 321 |ALLOCATED | 322 |
# | 332 |Prefetchファイル | 333 |プロセス名 | 334 |プロセスパス | 335 |ログから得られる情報 | 336 |
---|---|---|---|---|
1 | 341 |C:\Windows\Prefetch\[検体の実行ファイル名]-[文字列].pf | 342 |[検体の実行ファイル名] | 343 |\VOLUME{[GUID]}\[検体のパス] | 344 |Last Run Time (最終実行日時) | 345 |
# | 355 |ファイル名 | 356 |処理 | 357 |属性 | 358 |
---|---|---|---|
1 | 363 |[検体の実行ファイル名]-[文字列].pf | 364 |FILE_CREATE | 365 |archive+not_indexed | 366 |
[検体の実行ファイル名]-[文字列].pf | 370 |DATA_EXTEND+FILE_CREATE | 371 |archive+not_indexed | 372 ||
[検体の実行ファイル名]-[文字列].pf | 376 |CLOSE+DATA_EXTEND+FILE_CREATE | 377 |archive+not_indexed | 378 |
項目 | 42 |内容 | 43 |
---|---|
ドメインへの所属 | 48 |不要 | 49 |
サービス | 52 |Active Directory Domain Services | 53 |
OS | 56 |Windows Server | 57 |
権限 | 60 |標準ユーザー (ただし、実行するユーザの権限により取得出来ない情報が存在する) | 61 |
通信プロトコル | 64 |389/tcp | 65 |
# | 101 |ログ | 102 |イベントID | 103 |タスクのカテゴリ | 104 |イベント内容 | 105 |
---|---|---|---|---|
1 | 110 |Microsoft-Windows-Sysmon/Operational | 111 |1 | 112 |Process Create (rule: ProcessCreate) | 113 |Process Create.
|
120 |
2 | 123 |Microsoft-Windows-Sysmon/Operational | 124 |3 | 125 |Network connection detected (rule: NetworkConnect) | 126 |Network connection detected.
|
133 |
3 | 136 |セキュリティ | 137 |4689 | 138 |プロセス終了 | 139 |プロセスが終了しました。
|
146 |
# | 160 |イベントログ | 161 |イベントID | 162 |タスクのカテゴリ | 163 |イベント内容 | 164 |
---|---|---|---|---|
1 | 169 |Microsoft-Windows-Sysmon/Operational | 170 |1 | 171 |Process Create (rule: ProcessCreate) | 172 |Process Create.
|
184 |
セキュリティ | 188 |4688 | 189 |プロセス作成 | 190 |新しいプロセスが作成されました。
|
199 | |
2 | 202 |Microsoft-Windows-Sysmon/Operational | 203 |3 | 204 |Network connection detected (rule: NetworkConnect) | 205 |Network connection detected.
|
213 |
セキュリティ | 217 |5158 | 218 |フィルタリング プラットフォームの接続 | 219 |Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
|
225 | |
セキュリティ | 229 |5156 | 230 |フィルタリング プラットフォームの接続 | 231 |Windows フィルターリング プラットフォームで、接続が許可されました。
|
241 | |
3 | 244 |Microsoft-Windows-Sysmon/Operational | 245 |3 | 246 |Network connection detected (rule: NetworkConnect) | 247 |Network connection detected.
|
255 |
セキュリティ | 259 |5156 | 260 |フィルタリング プラットフォームの接続 | 261 |Windows フィルターリング プラットフォームで、接続が許可されました。
|
271 | |
4 | 274 |Microsoft-Windows-Sysmon/Operational | 275 |5 | 276 |Process terminated (rule: ProcessTerminate) | 277 |Process terminated.
|
282 |
セキュリティ | 286 |4689 | 287 |プロセス終了 | 288 |プロセスが終了しました。
|
296 |
項目 | 41 |内容 | 42 |
---|---|
権限 | 47 |標準ユーザー | 48 |
ドメインへの所属 | 51 |要 | 52 |
OS | 55 |Windows | 56 |
# | 92 |ログ | 93 |イベントID | 94 |タスクのカテゴリ | 95 |イベント内容 | 96 |
---|---|---|---|---|
1 | 101 |Microsoft-Windows-Sysmon/Operational | 102 |1 | 103 |Process Create (rule: ProcessCreate) | 104 |Process Create.
|
111 |
2 | 114 |セキュリティ | 115 |4689 | 116 |プロセス終了 | 117 |プロセスが終了しました。
|
123 |
# | 137 |イベントログ | 138 |イベントID | 139 |タスクのカテゴリ | 140 |イベント内容 | 141 |
---|---|---|---|---|
1 | 146 |Microsoft-Windows-Sysmon/Operational | 147 |1 | 148 |Process Create (rule: ProcessCreate) | 149 |Process Create.
|
163 |
セキュリティ | 167 |4688 | 168 |プロセス作成 | 169 |新しいプロセスが作成されました。
|
180 | |
2 | 183 |Microsoft-Windows-Sysmon/Operational | 184 |5 | 185 |Process terminated (rule: ProcessTerminate) | 186 |Process terminated.
|
191 |
セキュリティ | 195 |4689 | 196 |プロセス終了 | 197 |プロセスが終了しました。
|
205 | |
3 | 208 |セキュリティ | 209 |4656 | 210 |ファイル システム / その他のオブジェクト アクセス イベント | 211 |オブジェクトに対するハンドルが要求されました。
|
221 |
セキュリティ | 225 |4663 | 226 |ファイル システム | 227 |オブジェクトへのアクセスが試行されました。
|
239 | |
セキュリティ | 243 |4658 | 244 |ファイル システム | 245 |オブジェクトに対するハンドルが閉じました。
|
252 |
# | 262 |パス | 263 |ヘッダフラグ | 264 |有効 | 265 |
---|---|---|---|
1 | 270 |[ドライブ名]:\Windows\Prefetch\KLIST.EXE-[文字列].pf | 271 |FILE | 272 |ALLOCATED | 273 |
# | 283 |Prefetchファイル | 284 |プロセス名 | 285 |プロセスパス | 286 |ログから得られる情報 | 287 |
---|---|---|---|---|
1 | 292 |C:\Windows\Prefetch\KLIST.EXE-[文字列].pf | 293 |KLIST.EXE | 294 |C:\WINDOWS\SYSTEM32\KLIST.EXE | 295 |Last Run Time (最終実行日時) | 296 |
# | 306 |ファイル名 | 307 |処理 | 308 |属性 | 309 |
---|---|---|---|
1 | 314 |KLIST.EXE-[文字列].pf | 315 |FILE_CREATE | 316 |archive+not_indexed | 317 |
KLIST.EXE-[文字列].pf | 321 |DATA_EXTEND+FILE_CREATE | 322 |archive+not_indexed | 323 ||
KLIST.EXE-[文字列].pf | 327 |CLOSE+DATA_EXTEND+FILE_CREATE | 328 |archive+not_indexed | 329 |
項目 | 42 |内容 | 43 |
---|---|
ドメインへの所属 | 48 |不要 | 49 |
サービス | 52 |Active Directory Domain Services | 53 |
OS | 56 |Windows Server | 57 |
権限 | 60 |標準ユーザー | 61 |
通信プロトコル | 64 |389/tcp | 65 |
# | 101 |ログ | 102 |イベントID | 103 |タスクのカテゴリ | 104 |イベント内容 | 105 |
---|---|---|---|---|
1 | 110 |Microsoft-Windows-Sysmon/Operational | 111 |1 | 112 |Process Create (rule: ProcessCreate) | 113 |Process Create.
|
120 |
2 | 123 |セキュリティ | 124 |4663 | 125 |ファイル システム | 126 |オブジェクトへのアクセスが試行されました。
|
132 |
# | 140 |ファイル名 | 141 |処理 | 142 |
---|---|---|
1 | 147 |[検体実行時に"-f"オプションで指定されたLDIFファイル] | 148 |FILE_CREATE | 149 |
# | 163 |イベントログ | 164 |イベントID | 165 |タスクのカテゴリ | 166 |イベント内容 | 167 |
---|---|---|---|---|
1 | 172 |Microsoft-Windows-Sysmon/Operational | 173 |1 | 174 |Process Create (rule: ProcessCreate) | 175 |Process Create.
|
187 |
セキュリティ | 191 |4688 | 192 |プロセス作成 | 193 |新しいプロセスが作成されました。
|
204 | |
2 | 207 |セキュリティ | 208 |5158 | 209 |フィルタリング プラットフォームの接続 | 210 |Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
|
216 |
セキュリティ | 220 |5156 | 221 |フィルタリング プラットフォームの接続 | 222 |Windows フィルターリング プラットフォームで、接続が許可されました。
|
229 | |
3 | 232 |セキュリティ | 233 |5156 | 234 |フィルタリング プラットフォームの接続 | 235 |Windows フィルターリング プラットフォームで、接続が許可されました。
|
242 |
Microsoft-Windows-Sysmon/Operational | 246 |10 | 247 |Process accessed (rule: ProcessAccess) | 248 |Process accessed.
|
255 | |
4 | 258 |セキュリティ | 259 |4656 | 260 |ファイル システム / その他のオブジェクト アクセス イベント | 261 |オブジェクトに対するハンドルが要求されました。
|
271 |
セキュリティ | 275 |4663 | 276 |ファイル システム | 277 |オブジェクトへのアクセスが試行されました。
|
288 | |
セキュリティ | 292 |4658 | 293 |ファイル システム | 294 |オブジェクトに対するハンドルが閉じました。
|
301 | |
Microsoft-Windows-Sysmon/Operational | 305 |11 | 306 |File created (rule: FileCreate) | 307 |File created.
|
313 | |
5 | 316 |セキュリティ | 317 |4689 | 318 |プロセス終了 | 319 |プロセスが終了しました。
|
325 |
Microsoft-Windows-Sysmon/Operational | 329 |5 | 330 |Process terminated (rule: ProcessTerminate) | 331 |Process terminated.
|
336 |
# | 346 |パス | 347 |ヘッダフラグ | 348 |有効 | 349 |
---|---|---|---|
1 | 354 |[検体実行時に"-f"オプションで指定されたLDIFファイル] | 355 |FILE | 356 |ALLOCATED | 357 |
# | 367 |ファイル名 | 368 |処理 | 369 |属性 | 370 |
---|---|---|---|
1 | 375 |[検体実行時に"-f"オプションで指定されたLDIFファイル] | 376 |FILE_CREATE | 377 |archive | 378 |
[検体実行時に"-f"オプションで指定されたLDIFファイル] | 382 |DATA_EXTEND+FILE_CREATE | 383 |archive | 384 ||
[検体実行時に"-f"オプションで指定されたLDIFファイル] | 388 |CLOSE+DATA_EXTEND+FILE_CREATE | 389 |archive | 390 |
項目 | 41 |内容 | 42 |
---|---|
OS | 47 |Windows 7 32bit | 48 |
ドメインへの所属 | 51 |不要 | 52 |
権限 | 55 |管理者ユーザー | 56 |
# | 93 |ログ | 94 |イベントID | 95 |タスクのカテゴリ | 96 |イベント内容 | 97 |
---|---|---|---|---|
1 | 102 |Microsoft-Windows-Sysmon/Operational | 103 |1 | 104 |Process Create (rule: ProcessCreate) | 105 |Process Create.
|
112 |
2 | 115 |Microsoft-Windows-Sysmon/Operational | 116 |10 | 117 |Process accessed (rule: ProcessAccess) | 118 |Process accessed.
|
125 |
3 | 128 |セキュリティ | 129 |4689 | 130 |プロセス終了 | 131 |プロセスが終了しました。
|
139 |
# | 147 |パス | 148 |ヘッダフラグ | 149 |有効 | 150 |
---|---|---|---|
1 | 155 |[ドライブ名]:\Windows\Prefetch\[検体の実行ファイル名]-[文字列].pf | 156 |FILE | 157 |ALLOCATED | 158 |
# | 170 |ファイル名 | 171 |処理 | 172 |
---|---|---|
1 | 177 |[検体の実行ファイル名]-[文字列].pf | 178 |CLOSE+DATA_EXTEND+FILE_CREATE | 179 |
# | 193 |イベントログ | 194 |イベントID | 195 |タスクのカテゴリ | 196 |イベント内容 | 197 |
---|---|---|---|---|
1 | 202 |Microsoft-Windows-Sysmon/Operational | 203 |1 | 204 |Process Create (rule: ProcessCreate) | 205 |Process Create.
|
219 |
セキュリティ | 223 |4688 | 224 |プロセス作成 | 225 |新しいプロセスが作成されました。
|
234 | |
2 | 237 |Microsoft-Windows-Sysmon/Operational | 238 |10 | 239 |Process accessed (rule: ProcessAccess) | 240 |Process accessed.
|
247 |
3 | 250 |Microsoft-Windows-Sysmon/Operational | 251 |5 | 252 |Process terminated (rule: ProcessTerminate) | 253 |Process terminated.
|
258 |
セキュリティ | 262 |4689 | 263 |プロセス終了 | 264 |プロセスが終了しました。
|
272 | |
4 | 275 |Microsoft-Windows-Sysmon/Operational | 276 |11 | 277 |File created (rule: FileCreate) | 278 |File created.
|
284 |
セキュリティ | 288 |4656 | 289 |ファイル システム / その他のオブジェクト アクセス イベント | 290 |オブジェクトに対するハンドルが要求されました。
|
300 | |
セキュリティ | 304 |4663 | 305 |ファイル システム | 306 |オブジェクトへのアクセスが試行されました。
|
316 | |
セキュリティ | 320 |4658 | 321 |ファイル システム | 322 |オブジェクトに対するハンドルが閉じました。
|
329 |
# | 339 |パス | 340 |ヘッダフラグ | 341 |有効 | 342 |
---|---|---|---|
1 | 347 |[ドライブ名]:\Windows\Prefetch\[検体の実行ファイル名]-[文字列].pf | 348 |FILE | 349 |ALLOCATED | 350 |
# | 360 |Prefetchファイル | 361 |プロセス名 | 362 |プロセスパス | 363 |ログから得られる情報 | 364 |
---|---|---|---|---|
1 | 369 |C:\Windows\Prefetch\[検体の実行ファイル名]-[文字列].pf | 370 |検体の実行ファイル名 | 371 |\VOLUME{[GUID]}\[検体のパス] | 372 |Last Run Time (最終実行日時) | 373 |
# | 383 |ファイル名 | 384 |処理 | 385 |属性 | 386 |
---|---|---|---|
1 | 391 |[検体の実行ファイル名]-[文字列].pf | 392 |FILE_CREATE | 393 |archive+not_indexed | 394 |
[検体の実行ファイル名]-[文字列].pf | 398 |DATA_EXTEND+FILE_CREATE | 399 |archive+not_indexed | 400 ||
[検体の実行ファイル名]-[文字列].pf | 404 |CLOSE+DATA_EXTEND+FILE_CREATE | 405 |archive+not_indexed | 406 |
項目 | 41 |内容 | 42 |
---|---|
権限 | 47 |管理ユーザー | 48 |
OS | 51 |Windows | 52 |
ドメインへの所属 | 55 |不要 | 56 |
# | 93 |ログ | 94 |イベントID | 95 |タスクのカテゴリ | 96 |イベント内容 | 97 |
---|---|---|---|---|
1 | 102 |Microsoft-Windows-Sysmon/Operational | 103 |1 | 104 |Process Create (rule: ProcessCreate) | 105 |Process Create.
|
112 |
2 | 115 |セキュリティ | 116 |4656 | 117 |ファイル システム / その他のオブジェクト アクセス イベント | 118 |オブジェクトに対するハンドルが要求されました。
|
123 |
3 | 126 |セキュリティ | 127 |4663 | 128 |ファイル システム | 129 |オブジェクトへのアクセスが試行されました。
|
136 |
4 | 139 |Microsoft-Windows-Sysmon/Operational | 140 |2 | 141 |File creation time changed (rule: FileCreateTime) | 142 |File creation time changed.
|
148 |
# | 160 |ファイル名 | 161 |処理 | 162 |
---|---|---|
1 | 167 |[変更対象のファイル] | 168 |BASIC_INFO_CHANGE+CLOSE | 169 |
2 | 172 |[検体の実行ファイル名]-[文字列].pf | 173 |CLOSE+DATA_EXTEND+FILE_CREATE | 174 |
# | 188 |イベントログ | 189 |イベントID | 190 |タスクのカテゴリ | 191 |イベント内容 | 192 |
---|---|---|---|---|
1 | 197 |Microsoft-Windows-Sysmon/Operational | 198 |1 | 199 |Process Create (rule: ProcessCreate) | 200 |Process Create.
|
212 |
セキュリティ | 216 |4688 | 217 |プロセス作成 | 218 |新しいプロセスが作成されました。
|
229 | |
2 | 232 |セキュリティ | 233 |4656 | 234 |ファイル システム / その他のオブジェクト アクセス イベント | 235 |オブジェクトに対するハンドルが要求されました。
|
242 |
セキュリティ | 246 |4663 | 247 |ファイル システム | 248 |オブジェクトへのアクセスが試行されました。
|
256 | |
セキュリティ | 260 |4658 | 261 |ファイル システム | 262 |オブジェクトに対するハンドルが閉じました。
|
269 | |
3 | 272 |Microsoft-Windows-Sysmon/Operational | 273 |2 | 274 |File creation time changed (rule: FileCreateTime) | 275 |File creation time changed.
|
281 |
Microsoft-Windows-Sysmon/Operational | 285 |9 | 286 |RawAccessRead detected (rule: RawAccessRead) | 287 |RawAccessRead detected.
|
291 | |
セキュリティ | 295 |4656 | 296 |ファイル システム / その他のオブジェクト アクセス イベント | 297 |オブジェクトに対するハンドルが要求されました。
|
304 | |
セキュリティ | 308 |4663 | 309 |ファイル システム | 310 |オブジェクトへのアクセスが試行されました。
|
317 | |
セキュリティ | 321 |4658 | 322 |ファイル システム | 323 |オブジェクトに対するハンドルが閉じました。
|
327 | |
4 | 330 |セキュリティ | 331 |4689 | 332 |プロセス終了 | 333 |プロセスが終了しました。
|
338 |
Microsoft-Windows-Sysmon/Operational | 342 |5 | 343 |Process terminated (rule: ProcessTerminate) | 344 |Process terminated.
|
349 |
# | 359 |パス | 360 |ヘッダフラグ | 361 |有効 | 362 |
---|---|---|---|
1 | 367 |[変更対象のファイル] | 368 |FILE | 369 |ALLOCATED (タイムスタンプが変更されるが、それ以外の情報は変動しない) | 370 |
2 | 373 |[ドライブ名]:\Windows\Prefetch\[検体の実行ファイル名]-[文字列].pf | 374 |FILE | 375 |ALLOCATED | 376 |
# | 386 |ファイル名 | 387 |処理 | 388 |属性 | 389 |
---|---|---|---|
1 | 394 |[変更対象のファイル] | 395 |BASIC_INFO_CHANGE | 396 |archive | 397 |
[変更対象のファイル] | 401 |BASIC_INFO_CHANGE+CLOSE | 402 |archive | 403 ||
2 | 406 |[検体の実行ファイル名]-[文字列].pf | 407 |FILE_CREATE | 408 |archive+not_indexed | 409 |
[検体の実行ファイル名]-[文字列].pf | 413 |DATA_EXTEND+FILE_CREATE | 414 |archive+not_indexed | 415 ||
[検体の実行ファイル名]-[文字列].pf | 419 |CLOSE+DATA_EXTEND+FILE_CREATE | 420 |archive+not_indexed | 421 |
このサイトは、ネットワーク内部に侵入した攻撃者が悪用する可能性が高い49個のツールを実行した際に、どのようなログがWindowsに記録されるのかを調査し、まとめています。調査するログなどの対象は、以下を対象としています。 なお、下記項目の中で最もツールの実行痕跡が残るのはイベントログであることを確認しています。そのため、ここではイベントログの調査を中心にしたものになっています。 17 |
18 |また本調査の概要、使用方法などをまとめた報告書を、以下で公開しています。ツール分析結果シートを使用する際は、一度報告書をご確認いただくことをお勧めします。
30 |インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書 (第2版)
31 |各ツールの分析結果は表形式で解説しており、各項目で記載している内容について以下の通りです。
34 |項目 | 38 |内容 | 39 |
---|---|
ツール概要 | 44 |ツールについての説明およびツールの攻撃時における想定利用例について記載 | 45 |
ツール動作概要 | 48 |ツールを使用する際の権限、通信方式、関連するサービスについて記載 | 49 |
ログから得られる情報 | 52 |デフォルト設定(標準設定)および監査ポリシーの設定およびSysmonがインストールされた状態(追加設定)でツール実行時に得られるログの概要を記載 | 53 |
実行成功時に確認できる痕跡 | 56 |ツールの実行が、成功したことを確認する方法を記載 | 57 |
実行時に記録される主要な情報 | 60 |対象のイベントログやレジストリ、USNジャーナル、MFTなどで記録される調査に活用できる重要な情報を記載(すべての記録される情報を記載しているわけではない) | 61 |
詳細 | 64 |「実行時に記録される主要な情報」には含まれていない記録されるすべてのログについて記載 | 65 |
備考 | 68 |その他に記録される可能性があるログや検証時に確認した事項について記載 | 69 |
Windowsの標準設定では調査のために十分なイベントログを取得できません。そのため本調査では、次の設定をした場合に記録されるログを調査しています。
75 |監査ポリシーの有効化方法やSysmonのインストール方法については、レポートをご覧ください。
82 |カテゴリ | 20 |ツール | 21 |説明 | 22 |
---|---|---|
コマンド実行 | 27 |PsExec | 28 |リモートホスト上でコマンドを実行する | 29 |
wmic | 32 |Windowsのシステム管理に使用する | 33 ||
schtasks | 36 |指定した時刻にタスクを実行する | 37 ||
wmiexec.vbs | 40 |Windowsのシステム管理に使用する | 41 ||
BeginX | 44 |クライアントからサーバに対してコマンドを実行をする | 45 ||
WinRM | 48 |リモートの端末から情報を収集する | 49 ||
WinRS | 52 |リモートホスト上でコマンドを実行する | 53 ||
BITS | 56 |バックグラウンドでファイルを送受信する | 57 ||
パスワード、ハッシュの入手 | 60 |PWDump7 | 61 |ホスト内のパスワードハッシュ一覧を表示する | 62 |
PWDumpX | 65 |リモートホストからパスワードハッシュを取得する | 66 ||
Quarks PwDump | 69 |ドメインアカウントおよびローカルアカウントのパスワードハッシュや、キャッシュされたパスワードを取得する | 70 ||
Mimikatz (パスワードハッシュ入手 lsadump::sam) |
73 | OS内に保存された認証情報を搾取する | 74 ||
Mimikatz (パスワードハッシュ入手 sekurlsa::logonpasswords) |
77 | OS内に保存された認証情報を搾取する | 78 ||
Mimikatz (チケット入手 sekurlsa::tickets) |
81 | ログオンしているセッションのチケットを取得する | 82 ||
WCE | 85 |ホストのメモリ内に存在する、パスワードハッシュを取得する | 86 ||
gsecdump | 89 |SAM/ADやログオンセッションから、パスワードハッシュを抽出する | 90 ||
lslsass | 93 |lsassプロセスから、有効なログオンセッションのパスワードハッシュを取得する | 94 ||
AceHash | 97 |パスワードハッシュ値を取得し、ホストにログオンする | 98 ||
Find-GPOPasswords.ps1 | 101 |グループポリシーのファイルに記載されているパスワードを取得する | 102 ||
Get-GPPPassword (PowerSploit) |
105 | グループポリシーに記載されている平文のパスワードとその他のアカウント情報を取得する | 106 ||
Invoke-Mimikatz (PowerSploit) |
109 | メモリ上にMimikatzを読み込み、起動させる | 110 ||
Out-Minidump (PowerSploit) |
113 | メモリ上のプロセスをダンプする | 114 ||
PowerMemory (RWMC Tool) |
117 | ファイルやメモリ内に存在する認証情報を取得する | 118 ||
WebBrowserPassView | 121 |Webブラウザに保存されているユーザー名・パスワードを抽出する | 122 ||
通信の不正中継 | 125 |Htran | 126 |通信をトンネリングさせる | 127 |
Fake wpad | 130 |wpadサーバとして動作し、クライアントからの通信内容を取得・変更する | 131 ||
リモートログイン | 134 |RDP | 135 |リモートデスクトップサービスが稼働しているサーバーに接続する | 136 |
Pass-the-hash Pass-the-ticket |
139 | WCE (リモートログイン) | 140 |取得したパスワードハッシュを利用し、リモートホストでコマンドを実行する | 141 |
Mimikatz (リモートログイン) | 144 |取得したパスワードハッシュを利用し、リモートホストでコマンドを実行する | 145 ||
権限昇格 | 148 |MS14-058 Exploit | 149 |指定した実行ファイルを、SYSTEM権限で実行する | 150 |
MS15-078 Exploit | 153 |指定した実行ファイルを、SYSTEM権限で実行する | 154 ||
SDB UAC Bypass | 157 |アプリケーション互換データベース (SDB) を用いて、UACにより制御されるアプリケーションを管理者権限で実行する | 158 ||
ドメイン管理者権限 アカウントの奪取 |
161 | MS14-068 Exploit | 162 |ドメインユーザーの権限を、ドメイン管理者権限に変更する | 163 |
Golden Ticket (Mimikatz) |
166 | 不正にKerberosの認証チケットを作成し、リモートホストに接続する | 167 ||
Silver Ticket (Mimikatz) |
170 | 不正にKerberosの認証チケットを作成し、リモートホストに接続する | 171 ||
情報収集 | 174 |ntdsutil | 175 |Active Directory データベースの保守に使用する | 176 |
vssadmin | 179 |Volume Shadow Copyを作成し、NTDS.DITやレジストリなどのシステムファイルを抽出する | 180 ||
csvde | 183 |Active Directory上のアカウント情報をCSV形式で出力する | 184 ||
ldifde | 187 |Active Directory上のアカウント情報をLDIF形式で出力する | 188 ||
dsquery | 191 |Active Directoryから、ユーザーやグループなどの情報を取得する | 192 ||
dcdiag | 195 |ドメインコントローラーの状態を分析・調査する | 196 ||
nltest | 199 |使用しているドメインコントローラーとそのIPアドレスを取得する | 200 ||
nmap | 203 |ネットワーク調査に使用する | 204 ||
ローカルユーザー・グループの追加・削除 | 207 |net user | 208 |ホストまたはドメイン上に、ユーザーアカウントを追加する | 209 |
ファイル共有 | 212 |net use | 213 |ネットワーク上で公開されている共有ポイントに接続する | 214 |
痕跡の削除 | 217 |sdelete | 218 |ファイルを複数回上書きしてから削除する | 219 |
timestomp | 222 |ファイルのタイムスタンプを変更する | 223 ||
klist purge | 226 |保存されたKerberosチケットを削除する | 227 ||
wevtutil | 230 |Windowsのイベントログを削除する | 231 |