├── README.md ├── css ├── bootstrap.min.css ├── bootstrap.min.js └── dashboard.css ├── details ├── AceHash.htm ├── BITS.htm ├── BeginX.htm ├── FakeWpad.htm ├── Find-GPOPasswords.htm ├── Htran.htm ├── MS14-058.htm ├── MS14-068.htm ├── MS15-078.htm ├── Mimikatz_GoldenTicket.htm ├── Mimikatz_SilverTicket.htm ├── Mimikatz_lsadump-sam.htm ├── Mimikatz_sekurlsa-logonpasswords.htm ├── Mimikatz_sekurlsa-tickets.htm ├── PWDumpX.htm ├── PowerMemory.htm ├── PowerSploit_GetGPPPassword.htm ├── PowerSploit_Invoke-Mimikatz.htm ├── PowerSploit_Out-Minidump.htm ├── PsExec.htm ├── PwDump7.htm ├── QuarksPWDump.htm ├── RemoteLogin-Mimikatz.htm ├── RemoteLogin-WCE.htm ├── SDB-UAC-Bypass.htm ├── WCE.htm ├── WebBrowserPassView.htm ├── WinRM.htm ├── WinRS.htm ├── common │ ├── script.js │ └── style.css ├── csvde.htm ├── dcdiag.htm ├── dsquery.htm ├── gsecdump.htm ├── klist-purge.htm ├── ldifde.htm ├── lslsass.htm ├── mstsc.htm ├── net-use.htm ├── net-user.htm ├── nltest.htm ├── nmap.htm ├── ntdsutil.htm ├── schtasks.htm ├── sdelete.htm ├── timestomp.htm ├── vssadmin.htm ├── wevtutil.htm ├── wmic.htm └── wmiexec-vbs.htm ├── index.html ├── js ├── bootstrap.min.js └── jquery.min.js ├── overview.html └── tool-list.html /README.md: -------------------------------------------------------------------------------- 1 | # ツール分析結果シート 2 | このレポジトリは、攻撃者がネットワーク内に侵入後に利用する可能性が高いツール、コマンドを調査し、それらを実行した際にどのような痕跡がWindows OS上に残るのかを検証した結果の詳細をまとめています。 3 | ツール分析結果シートはHTMLで作成されており、以下のURLから確認することが可能です。 4 | 5 | https://jpcertcc.github.io/ToolAnalysisResultSheet_jp/ 6 | 7 | また本調査の概要、使用方法などをまとめた報告書を、以下で公開しています。 8 | 9 | [インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書 (第2版)](https://www.jpcert.or.jp/research/ir_research.html) 10 | 11 | ツール分析結果シートを使用する際は、一度報告書をご確認いただくことをお勧めします。 12 | -------------------------------------------------------------------------------- /css/dashboard.css: -------------------------------------------------------------------------------- 1 | /* 2 | * Base structure 3 | */ 4 | 5 | /* Move down content because we have a fixed navbar that is 50px tall */ 6 | body { 7 | padding-top: 50px; 8 | } 9 | 10 | /* 11 | * Typography 12 | */ 13 | 14 | h1 { 15 | margin-bottom: 20px; 16 | padding-bottom: 9px; 17 | border-bottom: 1px solid #eee; 18 | } 19 | 20 | /* 21 | * Sidebar 22 | */ 23 | 24 | .sidebar { 25 | position: fixed; 26 | top: 51px; 27 | bottom: 0; 28 | left: 0; 29 | z-index: 1000; 30 | padding: 10px; 31 | overflow-x: hidden; 32 | overflow-y: auto; /* Scrollable contents if viewport is shorter than content. */ 33 | border-right: 1px solid #eee; 34 | background-color: #c0c0c0; 35 | } 36 | 37 | /* Sidebar navigation */ 38 | .sidebar { 39 | padding-left: 0; 40 | padding-right: 0; 41 | } 42 | 43 | .sidebar .nav { 44 | margin-bottom: 10px; 45 | font-weight: bold; 46 | color: #fffafa; 47 | } 48 | 49 | .sidebar .nav-item { 50 | width: 100%; 51 | padding: 0px 0px 0px 10px; 52 | font-weight: normal; 53 | } 54 | 55 | .sidebar .nav-item + .nav-item { 56 | margin-left: 0; 57 | } 58 | 59 | .sidebar .nav-link { 60 | border-radius: 0; 61 | } 62 | 63 | /* 64 | * Dashboard 65 | */ 66 | 67 | /* Placeholders */ 68 | .placeholders { 69 | padding-bottom: 3rem; 70 | } 71 | 72 | .placeholder img { 73 | padding-top: 1.5rem; 74 | padding-bottom: 1.5rem; 75 | } 76 | -------------------------------------------------------------------------------- /details/MS14-058.htm: -------------------------------------------------------------------------------- 1 | 2 | 3 | 4 | 5 | MS14-058 Exploit 6 | 7 | 8 | 9 | 10 |

MS14-058 Exploit

11 |

- 目次

12 |
13 | 21 |

全てのセクションを開く | 全てのセクションを閉じる

22 |
23 |
24 |

- ツール概要

25 |
26 |
27 |
カテゴリ
28 |
権限昇格
29 |
説明
30 |
指定した実行ファイルを、SYSTEM権限で実行する。
31 |
攻撃時における想定利用例
32 |
管理者権限が必要な実行ファイルを、標準ユーザーで実行する。
33 |
34 |
35 |

- ツール動作概要

36 |
37 | 38 | 39 | 40 | 41 | 42 | 43 | 44 | 45 | 46 | 47 | 48 | 49 | 50 | 51 | 52 | 53 | 54 | 55 | 56 | 57 | 58 |
項目内容
ドメインへの所属不要
OSWindows 7
権限標準ユーザー
59 |
60 |

- ログから得られる情報

61 |
62 |
63 |
標準設定
64 |
    65 |
  • ホスト
      66 |
    • 実行履歴 (Prefetch)
      • 67 |
    • 68 |
69 |
追加設定
70 |
    71 |
  • ホスト
      72 |
    • 実行履歴 (監査ポリシー, Sysmon)
      • 73 |
    • 74 |
75 |
76 |
77 |

- 実行成功時に確認できる痕跡

78 |
79 | 82 |
83 |

- 実行時に記録される主要な情報

84 |
85 |

- ホスト

86 |
87 |

イベントログ

88 | 89 | 90 | 91 | 92 | 93 | 94 | 95 | 96 | 97 | 98 | 99 | 100 | 101 | 102 | 103 | 104 | 111 | 112 | 113 | 114 | 115 | 116 | 117 | 128 | 129 | 130 | 131 | 132 | 133 | 134 | 141 | 142 | 143 |
#ログイベントIDタスクのカテゴリイベント内容
1Microsoft-Windows-Sysmon/Operational1Process Create (rule: ProcessCreate)Process Create.
    105 |
  • UtcTime: プロセス実行日時 (UTC)
    • 106 |
  • ProcessGuid/ProcessId: プロセスID
    • 107 |
  • Image: 実行ファイルのパス (検体の実行ファイル)
    • 108 |
  • CommandLine: 実行コマンドのコマンドライン ([検体の実行ファイル] [権限を昇格して実行する実行ファイル])
    • 109 |
  • User: 実行ユーザー (検体を実行した非特権ユーザー)
    • 110 |
2Microsoft-Windows-Sysmon/Operational1Process Create (rule: ProcessCreate)Process Create.
    118 |
  • UtcTime: プロセス実行日時 (UTC)
    • 119 |
  • ProcessGuid/ProcessId: プロセスID
    • 120 |
  • Image: 実行ファイルのパス (直前のSysmon イベントID: 1のコマンドラインで指定された、「権限を昇格して実行する実行ファイル」の実行ファイル部)
    • 121 |
  • CommandLine: 実行コマンドのコマンドライン (直前のSysmon イベントID: 1のコマンドラインで指定された、「権限を昇格して実行する実行ファイル」部)
    • 122 |
  • User: 実行ユーザー (NY AUTHORITY\SYSTEM)
    • 123 |
  • Hashes: 実行ファイルのハッシュ値 (直前のSysmon イベントID: 1のコマンドラインで指定された、「権限を昇格して実行する実行ファイル」の実行ファイルのハッシュ)
    • 124 |
  • ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID (直前のSysmon イベントID: 1で実行された検体のプロセスID)
    • 125 |
  • ParentImage: 親プロセスの実行ファイル (直前のSysmon イベントID: 1で実行された検体)
    • 126 |
  • ParentCommandLine: 親プロセスのコマンドライン (直前のSysmon イベントID: 1におけるCommandLine)
    • 127 |
3セキュリティ4689プロセス終了プロセスが終了しました。
    135 |
  • ログの日時: プロセス終了日時 (ローカル時刻)
    • 136 |
  • サブジェクト > セキュリティID: 実行したユーザーSID (SYSTEM)
    • 137 |
  • サブジェクト > アカウント名: 実行したアカウント名 (ホスト名$)
    • 138 |
  • プロセス情報 > プロセスID: プロセスID (16進数)
    • 139 |
  • プロセス情報 > プロセス名: 実行ファイルのパス (検体の実行ファイル)
    • 140 |
144 |

MFT

145 | 146 | 147 | 148 | 149 | 150 | 151 | 152 | 153 | 154 | 155 | 156 | 157 | 158 | 159 | 160 | 161 | 162 |
#パスヘッダフラグ有効
1[ドライブ名]:\Windows\Prefetch\[検体の実行ファイル]-[文字列].pfFILEALLOCATED
163 |

Prefetch

164 | 167 |

USNジャーナル

168 | 169 | 170 | 171 | 172 | 173 | 174 | 175 | 176 | 177 | 178 | 179 | 180 | 181 | 182 | 183 |
#ファイル名処理
1[検体の実行ファイル]-[文字列].pfCLOSE+DATA_EXTEND+FILE_CREATE
184 |
185 |
186 |
187 |

- 詳細:ホスト

188 |
189 |

- イベントログ

190 |
191 | 192 | 193 | 194 | 195 | 196 | 197 | 198 | 199 | 200 | 201 | 202 | 203 | 204 | 205 | 206 | 207 | 220 | 221 | 222 | 223 | 224 | 225 | 226 | 235 | 236 | 237 | 238 | 239 | 240 | 241 | 255 | 256 | 257 | 258 | 259 | 260 | 261 | 272 | 273 | 274 | 275 | 276 | 277 | 278 | 285 | 286 | 287 | 288 | 289 | 290 | 291 | 297 | 298 | 299 | 300 | 301 | 302 | 303 | 314 | 315 | 316 | 317 | 318 | 319 | 320 | 325 | 326 | 327 | 328 | 329 | 330 | 331 | 340 | 341 | 342 |
#イベントログイベントIDタスクのカテゴリイベント内容
1Microsoft-Windows-Sysmon/Operational1Process Create (rule: ProcessCreate)Process Create.
    208 |
  • UtcTime: プロセス実行日時 (UTC)
    • 209 |
  • ProcessGuid/ProcessId: プロセスID
    • 210 |
  • Image: 実行ファイルのパス (検体の実行ファイル)
    • 211 |
  • CommandLine: 実行コマンドのコマンドライン ([検体の実行ファイル] [権限を昇格して実行する実行ファイル])
    • 212 |
  • User: 実行ユーザー (検体を実行した非特権ユーザー)
    • 213 |
  • LogonGuid/LogonId: ログオンセッションのID
    • 214 |
  • IntegrityLevel: 特権レベル (Medium)
    • 215 |
  • Hashes: 実行ファイルのハッシュ値
    • 216 |
  • ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID
    • 217 |
  • ParentImage: 親プロセスの実行ファイル
    • 218 |
  • ParentCommandLine: 親プロセスのコマンドライン
    • 219 |
セキュリティ4688プロセス作成新しいプロセスが作成されました。
    227 |
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン (検体を実行した非特権ユーザー)
    • 228 |
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
    • 229 |
  • プロセス情報 > トークン昇格の種類: 権限昇格の有無 (1)
    • 230 |
  • プロセス情報 > 新しいプロセスID: プロセスID (16進数)
    • 231 |
  • プロセス情報 > 新しいプロセス名: 実行ファイルのパス (検体の実行ファイル)
    • 232 |
  • プロセス情報 > 作成元プロセスID: 新プロセスを作成した親プロセスのプロセスID。Windows 7では「クリエイター プロセスID」
    • 233 |
  • ログの日時: プロセス実行日時 (ローカル時刻)
    • 234 |
2Microsoft-Windows-Sysmon/Operational1Process Create (rule: ProcessCreate)Process Create.
    242 |
  • UtcTime: プロセス実行日時 (UTC)
    • 243 |
  • ProcessGuid/ProcessId: プロセスID
    • 244 |
  • Image: 実行ファイルのパス (直前のSysmon イベントID: 1のコマンドラインで指定された、「権限を昇格して実行する実行ファイル」の実行ファイル部)
    • 245 |
  • CommandLine: 実行コマンドのコマンドライン (直前のSysmon イベントID: 1のコマンドラインで指定された、「権限を昇格して実行する実行ファイル」部)
    • 246 |
  • CurrentDirectory: 作業ディレクトリ (検体のパス)
    • 247 |
  • User: 実行ユーザー (NY AUTHORITY\SYSTEM)
    • 248 |
  • LogonGuid/LogonId: ログオンセッションのID
    • 249 |
  • IntegrityLevel: 特権レベル (System)
    • 250 |
  • Hashes: 実行ファイルのハッシュ値 (直前のSysmon イベントID: 1のコマンドラインで指定された、「権限を昇格して実行する実行ファイル」の実行ファイルのハッシュ)
    • 251 |
  • ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID (直前のSysmon イベントID: 1で実行された検体のプロセスID)
    • 252 |
  • ParentImage: 親プロセスの実行ファイル (直前のSysmon イベントID: 1で実行された検体)
    • 253 |
  • ParentCommandLine: 親プロセスのコマンドライン (直前のSysmon イベントID: 1におけるCommandLine)
    • 254 |
セキュリティ4688プロセス作成新しいプロセスが作成されました。
    262 |
  • サブジェクト > セキュリティID: 実行したユーザーSID (SYSTEM)
    • 263 |
  • サブジェクト > アカウント名: 実行したアカウント名 (ホスト名$)
    • 264 |
  • サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン (ホストの所属するドメイン)
    • 265 |
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
    • 266 |
  • プロセス情報 > トークン昇格の種類: 権限昇格の有無 (1)
    • 267 |
  • プロセス情報 > 新しいプロセスID: プロセスID (16進数)
    • 268 |
  • プロセス情報 > 新しいプロセス名: 実行ファイルのパス (検体の実行ファイル)
    • 269 |
  • プロセス情報 > 作成元プロセスID: 新プロセスを作成した親プロセスのプロセスID。Windows 7では「クリエイター プロセスID」 (直前のイベントID: 4688における「新しいプロセスID」)
    • 270 |
  • ログの日時: プロセス実行日時 (ローカル時刻)
    • 271 |
3Microsoft-Windows-Sysmon/Operational10Process accessed (rule: ProcessAccess)Process accessed.
    279 |
  • SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID (検体のプロセスID)
    • 280 |
  • SourceImage: アクセス元プロセスのパス (検体の実行ファイル)
    • 281 |
  • TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID (権限が昇格して実行された実行ファイルのプロセスID)
    • 282 |
  • TargetImage: アクセス先プロセスのパス (権限が昇格して実行された実行ファイルのパス)
    • 283 |
  • GrantedAccess: 許可されたアクセスの内容 (0x1FFFFF)
    • 284 |
4Microsoft-Windows-Sysmon/Operational11File created (rule: FileCreate)File created.
    292 |
  • ProcessGuid/ProcessId: プロセスID
    • 293 |
  • Image: 実行ファイルのパス (C:\Windows\System32\svchost.exe)
    • 294 |
  • TargetFilename: 作成されたファイル (C:\Windows\Prefetch\[検体の実行ファイル]-[文字列].pf)
    • 295 |
  • CreationUtcTime: ファイル作成日時 (UTC)
    • 296 |
セキュリティ4656/4663ファイル システムオブジェクトに対するハンドルが要求されました。 / オブジェクトへのアクセスが試行されました。
    304 |
  • サブジェクト > セキュリティID: 実行したユーザーSID
    • 305 |
  • サブジェクト > アカウント名: 実行したアカウント名
    • 306 |
  • サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン
    • 307 |
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
    • 308 |
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\[検体の実行ファイル]-[文字列].pf)
    • 309 |
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
    • 310 |
  • プロセス情報 > プロセスID: プロセスID (16進数)
    • 311 |
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
    • 312 |
  • アクセス要求情報 > アクセス: 要求された権限
    • 313 |
5Microsoft-Windows-Sysmon/Operational5Process terminated (rule: ProcessTerminate)Process terminated.
    321 |
  • UtcTime: プロセス終了日時 (UTC)
    • 322 |
  • ProcessGuid/ProcessId: プロセスID
    • 323 |
  • Image: 実行ファイルのパス (検体の実行ファイル)
    • 324 |
セキュリティ4689プロセス終了プロセスが終了しました。
    332 |
  • ログの日時: プロセス終了日時 (ローカル時刻)
    • 333 |
  • サブジェクト > セキュリティID: 実行したユーザーSID (SYSTEM)
    • 334 |
  • サブジェクト > アカウント名: 実行したアカウント名 (ホスト名$)
    • 335 |
  • サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン (ホストの所属するドメイン)
    • 336 |
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
    • 337 |
  • プロセス情報 > プロセスID: プロセスID (16進数)
    • 338 |
  • プロセス情報 > プロセス名: 実行ファイルのパス (検体の実行ファイル)
    • 339 |
343 |
344 |

- MFT

345 |
346 | 347 | 348 | 349 | 350 | 351 | 352 | 353 | 354 | 355 | 356 | 357 | 358 | 359 | 360 | 361 | 362 | 363 |
#パスヘッダフラグ有効
1[ドライブ名]:\Windows\Prefetch\[検体の実行ファイル]-[文字列].pfFILEALLOCATED
364 |
365 |

- Prefetch

366 |
367 | 368 | 369 | 370 | 371 | 372 | 373 | 374 | 375 | 376 | 377 | 378 | 379 | 380 | 381 | 382 | 383 | 384 | 385 | 386 |
#Prefetchファイルプロセス名プロセスパスログから得られる情報
1[検体の実行ファイル]-[文字列].pf[検体の実行ファイル][検体のパス]Last Run Time (最終実行日時)
387 |
388 |

- USNジャーナル

389 |
390 | 391 | 392 | 393 | 394 | 395 | 396 | 397 | 398 | 399 | 400 | 401 | 402 | 403 | 404 | 405 | 406 | 407 | 408 | 409 | 410 | 411 | 412 | 413 | 414 | 415 | 416 | 417 | 418 | 419 |
#ファイル名処理属性
1[検体の実行ファイル]-[文字列].pfFILE_CREATEarchive+not_indexed
[検体の実行ファイル]-[文字列].pfDATA_EXTEND+FILE_CREATEarchive+not_indexed
[検体の実行ファイル]-[文字列].pfCLOSE+DATA_EXTEND+FILE_CREATEarchive+not_indexed
420 |
421 |
422 | 423 | 424 | -------------------------------------------------------------------------------- /details/Mimikatz_lsadump-sam.htm: -------------------------------------------------------------------------------- 1 | 2 | 3 | 4 | 5 | mimikatz (パスワードハッシュ入手) 6 | 7 | 8 | 9 | 10 |

mimikatz > lsadump::sam

11 |

- 目次

12 |
13 | 21 |

全てのセクションを開く | 全てのセクションを閉じる

22 |
23 |
24 |

- ツール概要

25 |
26 |
27 |
カテゴリ
28 |
パスワード、ハッシュ入手
29 |
説明
30 |
OS内に保存された認証情報を搾取する。
31 |
攻撃時における想定利用例
32 |
ユーザーのパスワードを取得し、不正ログインに使用する。
33 |
34 |
35 |

- ツール動作概要

36 |
37 | 38 | 39 | 40 | 41 | 42 | 43 | 44 | 45 | 46 | 47 | 48 | 49 | 50 | 51 | 52 | 53 | 54 | 55 | 56 | 57 | 58 |
項目内容
OSWindows
権限管理者ユーザー
ドメインへの所属不要
59 |
60 |

- ログから得られる情報

61 |
62 |
63 |
標準設定
64 |
    65 |
  • ホスト
      66 |
    • 実行履歴 (Prefetch)
      • 67 |
    • 68 |
69 |
追加設定
70 |
    71 |
  • ホスト
      72 |
    • 実行履歴 (監査ポリシー, Sysmon)
      • 73 |
    • winlogon.exeへのアクセス (Sysmon)
      • 74 |
    • 75 |
76 |
77 |
78 |

- 実行成功時に確認できる痕跡

79 |
80 | 83 |
84 |

- 実行時に記録される主要な情報

85 |
86 |

- ホスト

87 |
88 |

イベントログ

89 | 90 | 91 | 92 | 93 | 94 | 95 | 96 | 97 | 98 | 99 | 100 | 101 | 102 | 103 | 104 | 105 | 112 | 113 | 114 | 115 | 116 | 117 | 118 | 124 | 125 | 126 |
#ログイベントIDタスクのカテゴリイベント内容
1Microsoft-Windows-Sysmon/Operational1Process Create (rule: ProcessCreate)Process Create.
    106 |
  • UtcTime: プロセス実行日時 (UTC)
    • 107 |
  • ProcessGuid/ProcessId: プロセスID
    • 108 |
  • Image: 実行ファイルのパス (検体のパス)
    • 109 |
  • CommandLine: 実行コマンドのコマンドライン (検体のパス)
    • 110 |
  • User: 実行ユーザー
    • 111 |
2Microsoft-Windows-Sysmon/Operational10Process accessed (rule: ProcessAccess)Process accessed.
    119 |
  • SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID
    • 120 |
  • SourceImage: アクセス元プロセスのパス (検体のパス)
    • 121 |
  • TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID
    • 122 |
  • TargetImage: アクセス先プロセスのパス (C:\Windows\system32\winlogon.exe)
    • 123 |
127 |

Prefetch

128 | 131 |
132 |
133 |
134 |

- 詳細:ホスト

135 |
136 |

- イベントログ

137 |
138 | 139 | 140 | 141 | 142 | 143 | 144 | 145 | 146 | 147 | 148 | 149 | 150 | 151 | 152 | 153 | 154 | 168 | 169 | 170 | 171 | 172 | 173 | 174 | 185 | 186 | 187 | 188 | 189 | 190 | 191 | 198 | 199 | 200 | 201 | 202 | 203 | 204 | 210 | 211 | 212 | 213 | 214 | 215 | 216 | 226 | 227 | 228 | 229 | 230 | 231 | 232 | 243 | 244 | 245 | 246 | 247 | 248 | 249 | 256 | 257 | 258 | 259 | 260 | 261 | 262 | 272 | 273 | 274 | 275 | 276 | 277 | 278 | 285 | 286 | 287 | 288 | 289 | 290 | 291 | 296 | 297 | 298 | 299 | 300 | 301 | 302 | 310 | 311 | 312 |
#イベントログイベントIDタスクのカテゴリイベント内容
1Microsoft-Windows-Sysmon/Operational1Process Create (rule: ProcessCreate)Process Create.
    155 |
  • UtcTime: プロセス実行日時 (UTC)
    • 156 |
  • ProcessGuid/ProcessId: プロセスID
    • 157 |
  • Image: 実行ファイルのパス (検体のパス)
    • 158 |
  • CommandLine: 実行コマンドのコマンドライン (検体のパス)
    • 159 |
  • CurrentDirectory: 作業ディレクトリ
    • 160 |
  • User: 実行ユーザー
    • 161 |
  • LogonGuid/LogonId: ログオンセッションのID
    • 162 |
  • IntegrityLevel: 特権レベル (High)
    • 163 |
  • Hashes: 実行ファイルのハッシュ値
    • 164 |
  • ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID
    • 165 |
  • ParentImage: 親プロセスの実行ファイル
    • 166 |
  • ParentCommandLine: 親プロセスのコマンドライン
    • 167 |
セキュリティ4688プロセス作成新しいプロセスが作成されました。
    175 |
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
    • 176 |
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
    • 177 |
  • プロセス情報 > 新しいプロセスID: プロセスID (16進数)
    • 178 |
  • プロセス情報 > 新しいプロセス名: 実行ファイルのパス (検体のパス)
    • 179 |
  • プロセス情報 > トークン昇格の種類: 権限昇格の有無 (1)
    • 180 |
  • プロセス情報 > 必須ラベル: 権限昇格の要否
    • 181 |
  • プロセス情報 > 作成元プロセスID: 新プロセスを作成した親プロセスのプロセスID。Windows 7では「クリエイター プロセスID」
    • 182 |
  • プロセス情報 > 作成元プロセス名: 新プロセスを作成した親プロセスのパス
    • 183 |
  • ログの日時: プロセス実行日時 (ローカル時刻)
    • 184 |
2セキュリティ4673重要な特権の使用特権のあるサービスが呼び出されました。
    192 |
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
    • 193 |
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
    • 194 |
  • プロセス > プロセス名: 特権を使用したプロセス
    • 195 |
  • プロセス > プロセスID: 特権を使用したプロセスのプロセスID (検体のパス)
    • 196 |
  • サービス要求情報 > 特権: 使用された特権 (SeTcbPrivilege)
    • 197 |
3Microsoft-Windows-Sysmon/Operational11File created (rule: FileCreate)File created.
    205 |
  • ProcessGuid/ProcessId: プロセスID
    • 206 |
  • Image: 実行ファイルのパス (C:\Windows\System32\svchost.exe)
    • 207 |
  • TargetFilename: 作成されたファイル (C:\Windows\Prefetch\[検体の実行ファイル名]-[文字列].pf)
    • 208 |
  • CreationUtcTime: ファイル作成日時 (UTC)
    • 209 |
セキュリティ4656ファイル システム / その他のオブジェクト アクセス イベントオブジェクトに対するハンドルが要求されました。
    217 |
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
    • 218 |
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
    • 219 |
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
    • 220 |
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\[検体の実行ファイル名]-[文字列].pf)
    • 221 |
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
    • 222 |
  • プロセス情報 > プロセスID: プロセスID (16進数)
    • 223 |
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
    • 224 |
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限
    • 225 |
セキュリティ4663ファイル システムオブジェクトへのアクセスが試行されました。
    233 |
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
    • 234 |
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
    • 235 |
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
    • 236 |
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\[検体の実行ファイル名]-[文字列].pf)
    • 237 |
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
    • 238 |
  • プロセス情報 > プロセスID: プロセスID (16進数)
    • 239 |
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
    • 240 |
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限
    • 241 |
  • 成功の監査: 成否 (アクセス成功)
    • 242 |
セキュリティ4658ファイル システムオブジェクトに対するハンドルが閉じました。
    250 |
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
    • 251 |
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
    • 252 |
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
    • 253 |
  • プロセス情報 > プロセスID: プロセスID (16進数)
    • 254 |
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\svchost.exe)
    • 255 |
4セキュリティ4703Token Right Adjusted EventsA token right was adjusted.
    263 |
  • Subject > Security ID/Account Name/Account Domain: 実行したユーザーSID/アカウント名/ドメイン
    • 264 |
  • Subject > Logon ID: プロセスを実行したユーザーのセッションID
    • 265 |
  • Target Account > Security ID/Account Name/Account Domain: 対象のユーザーSID/アカウント名/ドメイン
    • 266 |
  • Target Account > Logon ID: 対象ユーザーのセッションID
    • 267 |
  • Process Information > Process ID: 実行したプロセスID
    • 268 |
  • Process Information > Process Name: 実行したプロセス名 (検体のパス)
    • 269 |
  • Enabled Privileges: 有効化された権限 (SeDebugPrivilege)
    • 270 |
  • Disabled Privileges: 無効化された権限 (-)
    • 271 |
Microsoft-Windows-Sysmon/Operational10Process accessed (rule: ProcessAccess)Process accessed.
    279 |
  • SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID
    • 280 |
  • SourceImage: アクセス元プロセスのパス (検体のパス)
    • 281 |
  • TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID
    • 282 |
  • TargetImage: アクセス先プロセスのパス (C:\Windows\system32\winlogon.exe)
    • 283 |
  • GrantedAccess: 許可されたアクセスの内容
    • 284 |
5Microsoft-Windows-Sysmon/Operational5Process terminated (rule: ProcessTerminate)Process terminated.
    292 |
  • UtcTime: プロセス終了日時 (UTC)
    • 293 |
  • ProcessGuid/ProcessId: プロセスID
    • 294 |
  • Image: 実行ファイルのパス (検体のパス)
    • 295 |
セキュリティ4689プロセス終了プロセスが終了しました。
    303 |
  • ログの日時: プロセス終了日時 (ローカル時刻)
    • 304 |
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
    • 305 |
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
    • 306 |
  • プロセス情報 > プロセスID: プロセスID (16進数)
    • 307 |
  • プロセス情報 > プロセス名: 実行ファイルのパス (検体のパス)
    • 308 |
  • プロセス情報 > 終了状態: プロセスの戻り値 (0xC000013A)
    • 309 |
313 |
314 |

- MFT

315 |
316 | 317 | 318 | 319 | 320 | 321 | 322 | 323 | 324 | 325 | 326 | 327 | 328 | 329 | 330 | 331 | 332 | 333 |
#パスヘッダフラグ有効
1[ドライブ名]:\Windows\Prefetch\[検体実行ファイル名]-[文字列].pfFILEALLOCATED
334 |
335 |

- Prefetch

336 |
337 | 338 | 339 | 340 | 341 | 342 | 343 | 344 | 345 | 346 | 347 | 348 | 349 | 350 | 351 | 352 | 353 | 354 | 355 | 356 |
#Prefetchファイルプロセス名プロセスパスログから得られる情報
1C:\Windows\Prefetch\[検体実行ファイル名]-[文字列].pf[検体実行ファイル名][検体パス]Last Run Time (最終実行日時)
357 |
358 |

- USNジャーナル

359 |
360 | 361 | 362 | 363 | 364 | 365 | 366 | 367 | 368 | 369 | 370 | 371 | 372 | 373 | 374 | 375 | 376 | 377 | 378 | 379 | 380 | 381 | 382 | 383 | 384 | 385 | 386 | 387 | 388 | 389 |
#ファイル名処理属性
1[検体実行ファイル名]-[文字列].pfFILE_CREATEarchive+not_indexed
[検体実行ファイル名]-[文字列].pfDATA_EXTEND+FILE_CREATEarchive+not_indexed
[検体実行ファイル名]-[文字列].pfCLOSE+DATA_EXTEND+FILE_CREATEarchive+not_indexed
390 |
391 |
392 | 393 | 394 | -------------------------------------------------------------------------------- /details/PwDump7.htm: -------------------------------------------------------------------------------- 1 | 2 | 3 | 4 | 5 | PwDump7 6 | 7 | 8 | 9 | 10 |

PwDump7

11 |

- 目次

12 |
13 | 21 |

全てのセクションを開く | 全てのセクションを閉じる

22 |
23 |
24 |

- ツール概要

25 |
26 |
27 |
カテゴリ
28 |
パスワード、ハッシュ入手
29 |
説明
30 |
ホスト内のパスワードハッシュ一覧を表示する。
31 |
攻撃時における想定利用例
32 |
取得したハッシュ情報を利用して、他のホストにログオンする。
33 |
34 |
35 |

- ツール動作概要

36 |
37 | 38 | 39 | 40 | 41 | 42 | 43 | 44 | 45 | 46 | 47 | 48 | 49 | 50 | 51 | 52 | 53 | 54 | 55 | 56 | 57 | 58 |
項目内容
OSWindows
ドメインへの所属不要
権限管理者ユーザー
59 |
60 |

- ログから得られる情報

61 |
62 |
63 |
標準設定
64 |
    65 |
  • ホスト
      66 |
    • 実行履歴 (Prefetch)
      • 67 |
    • 68 |
69 |
追加設定
70 |
    71 |
  • ホスト
      72 |
    • 実行履歴 (監査ポリシー, Sysmon)
      • 73 |
    • 74 |
75 |
76 |
77 |

- 実行成功時に確認できる痕跡

78 |
79 | 82 |
83 |

- 実行時に記録される主要な情報

84 |
85 |

- ホスト

86 |
87 |

イベントログ

88 | 89 | 90 | 91 | 92 | 93 | 94 | 95 | 96 | 97 | 98 | 99 | 100 | 101 | 102 | 103 | 104 | 111 | 112 | 113 | 114 | 115 | 116 | 117 | 124 | 125 | 126 |
#ログイベントIDタスクのカテゴリイベント内容
1Microsoft-Windows-Sysmon/Operational1Process Create (rule: ProcessCreate)Process Create.
    105 |
  • UtcTime: プロセス実行日時 (UTC)
    • 106 |
  • ProcessGuid/ProcessId: プロセスID
    • 107 |
  • Image: 実行ファイルのパス (検体の実行ファイル名)
    • 108 |
  • CommandLine: 実行コマンドのコマンドライン
    • 109 |
  • User: 実行ユーザー
    • 110 |
2セキュリティ4689プロセス終了プロセスが終了しました。
    118 |
  • ログの日時: プロセス終了日時 (ローカル時刻)
    • 119 |
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
    • 120 |
  • プロセス情報 > プロセスID: プロセスID (16進数)
    • 121 |
  • プロセス情報 > プロセス名: 実行ファイルのパス
    • 122 |
  • プロセス情報 > 終了状態: プロセスの戻り値
    • 123 |
127 |

MFT

128 | 129 | 130 | 131 | 132 | 133 | 134 | 135 | 136 | 137 | 138 | 139 | 140 | 141 | 142 | 143 | 144 | 145 |
#パスヘッダフラグ有効
1[ドライブ名]:\Windows\Prefetch\[検体の実行ファイル名]-[文字列].pfFILEALLOCATED
146 |

Prefetch

147 | 150 |

USNジャーナル

151 | 152 | 153 | 154 | 155 | 156 | 157 | 158 | 159 | 160 | 161 | 162 | 163 | 164 | 165 | 166 |
#ファイル名処理
1[検体の実行ファイル名]-[文字列].pfCLOSE+DATA_EXTEND+FILE_CREATE
167 |
168 |
169 |
170 |

- 詳細:ホスト

171 |
172 |

- イベントログ

173 |
174 | 175 | 176 | 177 | 178 | 179 | 180 | 181 | 182 | 183 | 184 | 185 | 186 | 187 | 188 | 189 | 190 | 202 | 203 | 204 | 205 | 206 | 207 | 208 | 219 | 220 | 221 | 222 | 223 | 224 | 225 | 230 | 231 | 232 | 233 | 234 | 235 | 236 | 244 | 245 | 246 | 247 | 248 | 249 | 250 | 256 | 257 | 258 | 259 | 260 | 261 | 262 | 272 | 273 | 274 | 275 | 276 | 277 | 278 | 288 | 289 | 290 | 291 | 292 | 293 | 294 | 301 | 302 | 303 |
#イベントログイベントIDタスクのカテゴリイベント内容
1Microsoft-Windows-Sysmon/Operational1Process Create (rule: ProcessCreate)Process Create.
    191 |
  • UtcTime: プロセス実行日時 (UTC)
    • 192 |
  • ProcessGuid/ProcessId: プロセスID
    • 193 |
  • Image: 実行ファイルのパス (検体の実行ファイル名)
    • 194 |
  • CommandLine: 実行コマンドのコマンドライン
    • 195 |
  • User: 実行ユーザー
    • 196 |
  • LogonGuid/LogonId: ログオンセッションのID
    • 197 |
  • Hashes: 実行ファイルのハッシュ値
    • 198 |
  • ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID
    • 199 |
  • ParentImage: 親プロセスの実行ファイル
    • 200 |
  • ParentCommandLine: 親プロセスのコマンドライン
    • 201 |
セキュリティ4688プロセス作成新しいプロセスが作成されました。
    209 |
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
    • 210 |
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
    • 211 |
  • プロセス情報 > トークン昇格の種類: 権限昇格の有無 (2)
    • 212 |
  • プロセス情報 > 新しいプロセスID: プロセスID (16進数)
    • 213 |
  • プロセス情報 > 新しいプロセス名: 実行ファイルのパス (検体の実行ファイル名)
    • 214 |
  • プロセス情報 > 作成元プロセスID: 新プロセスを作成した親プロセスのプロセスID。Windows 7では「クリエイター プロセスID」
    • 215 |
  • プロセス情報 > 作成元プロセス名: 新プロセスを作成した親プロセスのパス
    • 216 |
  • プロセス情報 > 必須ラベル: 権限昇格の要否 (Mandatory Label\High Mandatory Level)
    • 217 |
  • ログの日時: プロセス実行日時 (ローカル時刻)
    • 218 |
2Microsoft-Windows-Sysmon/Operational5Process terminated (rule: ProcessTerminate)Process terminated.
    226 |
  • UtcTime: プロセス終了日時 (UTC)
    • 227 |
  • ProcessGuid/ProcessId: プロセスID
    • 228 |
  • Image: 実行ファイルのパス (検体の実行ファイル名)
    • 229 |
セキュリティ4689プロセス終了プロセスが終了しました。
    237 |
  • ログの日時: プロセス終了日時 (ローカル時刻)
    • 238 |
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
    • 239 |
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
    • 240 |
  • プロセス情報 > プロセスID: プロセスID (16進数)
    • 241 |
  • プロセス情報 > プロセス名: 実行ファイルのパス
    • 242 |
  • プロセス情報 > 終了状態: プロセスの戻り値
    • 243 |
3Microsoft-Windows-Sysmon/Operational11File created (rule: FileCreate)File created.
    251 |
  • ProcessGuid/ProcessId: プロセスID
    • 252 |
  • Image: 実行ファイルのパス (検体の実行ファイル名)
    • 253 |
  • TargetFilename: 作成されたファイル (C:\Windows\Prefetch\[検体の実行ファイル名]-[文字列].pf)
    • 254 |
  • CreationUtcTime: ファイル作成日時 (UTC)
    • 255 |
セキュリティ4656ファイル システム / その他のオブジェクト アクセス イベントオブジェクトに対するハンドルが要求されました。
    263 |
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
    • 264 |
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
    • 265 |
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
    • 266 |
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\[検体の実行ファイル名]-[文字列].pf)
    • 267 |
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
    • 268 |
  • プロセス情報 > プロセスID: プロセスID (16進数)
    • 269 |
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
    • 270 |
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
    • 271 |
セキュリティ4663ファイル システムオブジェクトへのアクセスが試行されました。
    279 |
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
    • 280 |
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
    • 281 |
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
    • 282 |
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\[検体の実行ファイル名]-[文字列].pf)
    • 283 |
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドルID)
    • 284 |
  • プロセス情報 > プロセスID: プロセスID (16進数)
    • 285 |
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
    • 286 |
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendData)
    • 287 |
セキュリティ4658ファイル システムオブジェクトに対するハンドルが閉じました。
    295 |
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
    • 296 |
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
    • 297 |
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドルID)
    • 298 |
  • プロセス情報 > プロセスID: プロセスID (16進数)
    • 299 |
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\svchost.exe)
    • 300 |
304 |
305 |

- MFT

306 |
307 | 308 | 309 | 310 | 311 | 312 | 313 | 314 | 315 | 316 | 317 | 318 | 319 | 320 | 321 | 322 | 323 | 324 |
#パスヘッダフラグ有効
1[ドライブ名]:\Windows\Prefetch\[検体の実行ファイル名]-[文字列].pfFILEALLOCATED
325 |
326 |

- Prefetch

327 |
328 | 329 | 330 | 331 | 332 | 333 | 334 | 335 | 336 | 337 | 338 | 339 | 340 | 341 | 342 | 343 | 344 | 345 | 346 | 347 |
#Prefetchファイルプロセス名プロセスパスログから得られる情報
1C:\Windows\Prefetch\[検体の実行ファイル名]-[文字列].pf[検体の実行ファイル名]\VOLUME{[GUID]}\[検体のパス]Last Run Time (最終実行日時)
348 |
349 |

- USNジャーナル

350 |
351 | 352 | 353 | 354 | 355 | 356 | 357 | 358 | 359 | 360 | 361 | 362 | 363 | 364 | 365 | 366 | 367 | 368 | 369 | 370 | 371 | 372 | 373 | 374 | 375 | 376 | 377 | 378 | 379 | 380 |
#ファイル名処理属性
1[検体の実行ファイル名]-[文字列].pfFILE_CREATEarchive+not_indexed
[検体の実行ファイル名]-[文字列].pfDATA_EXTEND+FILE_CREATEarchive+not_indexed
[検体の実行ファイル名]-[文字列].pfCLOSE+DATA_EXTEND+FILE_CREATEarchive+not_indexed
381 |
382 |
383 | 384 | 385 | -------------------------------------------------------------------------------- /details/common/script.js: -------------------------------------------------------------------------------- 1 | function showhide(id) { 2 | var bspace = document.getElementById("div-" + id); 3 | var button = document.getElementById("a-" + id); 4 | if(bspace.style.display != "none") { 5 | bspace.style.display = "none"; 6 | button.innerHTML = "+"; 7 | } else { 8 | bspace.style.display = "block"; 9 | button.innerHTML = "-"; 10 | } 11 | } 12 | 13 | function collapseall(mode) { 14 | var items = [ 'Summary', 'ExecCondition', 'Findings', 'SuccessCondition', 'KeyEvents', 'HostDetails', 'SourceDetails', 'DestinationDetails', 'ADDetails', 'Packets', 'Notes' ]; 15 | for(i = 0; i < items.length; i++) { 16 | elem_div = document.getElementById("div-" + items[i]); 17 | elem_a = document.getElementById("a-" + items[i]); 18 | if((elem_div == null) || (elem_a == null)) continue; 19 | if(mode == 's') { 20 | elem_div.style.display = "block"; 21 | elem_a.innerHTML = "-"; 22 | } else if(mode == 'h') { 23 | elem_div.style.display = "none"; 24 | elem_a.innerHTML = "+"; 25 | } 26 | } 27 | } 28 | -------------------------------------------------------------------------------- /details/common/style.css: -------------------------------------------------------------------------------- 1 | * { 2 | font-family:-apple-system,system-ui,BlinkMacSystemFont,"Segoe UI",Roboto,"Helvetica Neue",Arial,"游ゴシック体","Yu Gothic",YuGothic,"Hiragino Kaku Gothic ProN", Meiryo,sans-serif; 3 | } 4 | 5 | a.collapse { 6 | border: 1px solid; 7 | color: #000000; 8 | font-size: smaller; 9 | font-weight: normal; 10 | padding-left: 5px; 11 | padding-right: 5px; 12 | text-decoration: none; 13 | font-family:-apple-system,system-ui,BlinkMacSystemFont,"Segoe UI",Roboto,"Helvetica Neue",Arial,"游ゴシック体","Yu Gothic",YuGothic,"Hiragino Kaku Gothic ProN", Meiryo,sans-serif; 14 | } 15 | 16 | h1.title { 17 | background-color: #000000; 18 | color: #FFFFFF; 19 | } 20 | 21 | h2.section { 22 | } 23 | 24 | div.section { 25 | display: block; 26 | margin-bottom: 5em; 27 | padding-left: 1%; 28 | padding-right: 1%; 29 | } 30 | 31 | div.toc { 32 | display: block; 33 | margin-bottom: 5em; 34 | padding-left: 1%; 35 | padding-right: 1%; 36 | } 37 | 38 | dl.table { 39 | } 40 | 41 | dt.table { 42 | border-bottom-width: 1px; 43 | border-bottom-style: solid; 44 | border-bottom-color: #000000; 45 | border-left-width: 6px; 46 | border-left-style: solid; 47 | border-left-color: #000000; 48 | font-weight: bold; 49 | margin-bottom: 1em; 50 | margin-top: 2em; 51 | padding-bottom: 3px; 52 | padding-left: 10px; 53 | } 54 | 55 | dd.table { 56 | margin-left: 0; 57 | } 58 | 59 | hr.section_divider { 60 | border-color: #CCCCCC; 61 | border-style: solid; 62 | border-width: 3px; 63 | } 64 | 65 | span.strong { 66 | font-weight: bold; 67 | } 68 | 69 | table.border { 70 | border-color: #000000; 71 | border-style: solid; 72 | border-width: 2px; 73 | } 74 | 75 | td.border { 76 | border-style: solid; 77 | border-width: 1px; 78 | padding-left: 1em; 79 | padding-right: 1em; 80 | } 81 | 82 | td.border_header { 83 | border-style: solid; 84 | border-width: 1px; 85 | font-weight: bold; 86 | padding-left: 1em; 87 | padding-right: 1em; 88 | } 89 | 90 | th.border_header { 91 | background-color: #000000 !important; 92 | border-style: solid; 93 | border-width: 1px; 94 | color: #FFFFFF; 95 | font-weight: bold; 96 | padding-left: 1em; 97 | padding-right: 1em; 98 | } 99 | 100 | tr.border { 101 | border-style: solid; 102 | border-width: 1px; 103 | } 104 | 105 | 106 | @media print { 107 | a.collapse { 108 | display: none; 109 | } 110 | div.toc { 111 | display: none; 112 | margin-bottom: 5em; 113 | padding-left: 1%; 114 | padding-right: 1%; 115 | } 116 | h2.toc { 117 | display: none; 118 | } 119 | p.toc_command { 120 | display: none; 121 | } 122 | thead { 123 | display: table-header-group; 124 | } 125 | } 126 | -------------------------------------------------------------------------------- /details/dsquery.htm: -------------------------------------------------------------------------------- 1 | 2 | 3 | 4 | 5 | dsquery 6 | 7 | 8 | 9 | 10 |

dsquery

11 |

- 目次

12 |
13 | 22 |

全てのセクションを開く | 全てのセクションを閉じる

23 |
24 |
25 |

- ツール概要

26 |
27 |
28 |
カテゴリ
29 |
情報収集
30 |
説明
31 |
Active Directoryから、ユーザーやグループなどの情報を取得する。
32 |
攻撃時における想定利用例
33 |
Active Directoryからアカウント情報を収集し、攻撃対象として利用可能なユーザーやホストを選択する。
34 |
35 |
36 |

- ツール動作概要

37 |
38 | 39 | 40 | 41 | 42 | 43 | 44 | 45 | 46 | 47 | 48 | 49 | 50 | 51 | 52 | 53 | 54 | 55 | 56 | 57 | 58 | 59 | 60 | 61 | 62 | 63 | 64 | 65 | 66 | 67 |
項目内容
ドメインへの所属不要
サービスActive Directory Domain Services
OSWindows Server
権限標準ユーザー (ただし、実行するユーザの権限により取得出来ない情報が存在する)
通信プロトコル389/tcp
68 |
69 |

- ログから得られる情報

70 |
71 |
72 |
標準設定
73 |
    74 |
  • ホスト
      75 |
    • 実行履歴 (Prefetch)
      • 76 |
    • 77 |
78 |
追加設定
79 |
    80 |
  • ホスト
      81 |
    • 実行履歴 (Sysmon・監査ポリシー)
      • 82 |
    • 83 |
84 |
85 |
86 |

- 実行成功時に確認できる痕跡

87 |
88 | 91 |
92 |

- 実行時に記録される主要な情報

93 |
94 |

- ドメインコントローラー

95 |
96 |

イベントログ

97 | 98 | 99 | 100 | 101 | 102 | 103 | 104 | 105 | 106 | 107 | 108 | 109 | 110 | 111 | 112 | 113 | 120 | 121 | 122 | 123 | 124 | 125 | 126 | 133 | 134 | 135 | 136 | 137 | 138 | 139 | 146 | 147 | 148 |
#ログイベントIDタスクのカテゴリイベント内容
1Microsoft-Windows-Sysmon/Operational1Process Create (rule: ProcessCreate)Process Create.
    114 |
  • UtcTime: プロセス実行日時 (UTC)
    • 115 |
  • ProcessGuid/ProcessId: プロセスID
    • 116 |
  • Image: 実行ファイルのパス (検体のパス)
    • 117 |
  • CommandLine: 実行コマンドのコマンドライン (検体のパス。フィルター条件が分かる)
    • 118 |
  • User: 実行ユーザー
    • 119 |
2Microsoft-Windows-Sysmon/Operational3Network connection detected (rule: NetworkConnect)Network connection detected.
    127 |
  • ProcessGuid/ProcessId: プロセスID
    • 128 |
  • Image: 実行ファイルのパス (検体のパス)
    • 129 |
  • Protocol: プロトコル (tcp)
    • 130 |
  • SourceIp/SourceHostname/SourcePort: 送信元IPアドレス/ホスト名/ポート番号
    • 131 |
  • DestinationIp/DestinationHostname/DestinationPort: 宛先IPアドレス/ホスト名/ポート番号 (ポートは389)
    • 132 |
3セキュリティ4689プロセス終了プロセスが終了しました。
    140 |
  • ログの日時: プロセス終了日時 (ローカル時刻)
    • 141 |
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
    • 142 |
  • プロセス情報 > プロセスID: プロセスID (16進数)
    • 143 |
  • プロセス情報 > プロセス名: 実行ファイルのパス (検体のパス)
    • 144 |
  • プロセス情報 > 終了状態: プロセスの戻り値 (成功の場合は0x0)
    • 145 |
149 |
150 |
151 |
152 |

- 詳細:ドメインコントローラー

153 |
154 |

- イベントログ

155 |
156 | 157 | 158 | 159 | 160 | 161 | 162 | 163 | 164 | 165 | 166 | 167 | 168 | 169 | 170 | 171 | 172 | 184 | 185 | 186 | 187 | 188 | 189 | 190 | 199 | 200 | 201 | 202 | 203 | 204 | 205 | 213 | 214 | 215 | 216 | 217 | 218 | 219 | 225 | 226 | 227 | 228 | 229 | 230 | 231 | 241 | 242 | 243 | 244 | 245 | 246 | 247 | 255 | 256 | 257 | 258 | 259 | 260 | 261 | 271 | 272 | 273 | 274 | 275 | 276 | 277 | 282 | 283 | 284 | 285 | 286 | 287 | 288 | 296 | 297 | 298 |
#イベントログイベントIDタスクのカテゴリイベント内容
1Microsoft-Windows-Sysmon/Operational1Process Create (rule: ProcessCreate)Process Create.
    173 |
  • CommandLine: 実行コマンドのコマンドライン (検体のパス。フィルター条件が分かる)
    • 174 |
  • Hashes: 実行ファイルのハッシュ値
    • 175 |
  • Image: 実行ファイルのパス (検体のパス)
    • 176 |
  • LogonGuid/LogonId: ログオンセッションのID
    • 177 |
  • ParentCommandLine: 親プロセスのコマンドライン
    • 178 |
  • ParentImage: 親プロセスの実行ファイル
    • 179 |
  • ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID
    • 180 |
  • ProcessGuid/ProcessId: プロセスID
    • 181 |
  • User: 実行ユーザー
    • 182 |
  • UtcTime: プロセス実行日時 (UTC)
    • 183 |
セキュリティ4688プロセス作成新しいプロセスが作成されました。
    191 |
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
    • 192 |
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
    • 193 |
  • プロセス情報 > トークン昇格の種類: 権限昇格の有無
    • 194 |
  • プロセス情報 > 新しいプロセスID: プロセスID (16進数)
    • 195 |
  • プロセス情報 > 新しいプロセス名: 実行ファイルのパス (検体のパス)
    • 196 |
  • プロセス情報 > 作成元プロセスID: 新プロセスを作成した親プロセスのプロセスID。Windows 7では「クリエイター プロセスID」
    • 197 |
  • ログの日時: プロセス実行日時 (ローカル時刻)
    • 198 |
2Microsoft-Windows-Sysmon/Operational3Network connection detected (rule: NetworkConnect)Network connection detected.
    206 |
  • DestinationPort: 宛先ポート番号 (389)
    • 207 |
  • Image: 実行ファイルのパス (検体のパス)
    • 208 |
  • ProcessGuid/ProcessId: プロセスID
    • 209 |
  • Protocol: プロトコル (tcp)
    • 210 |
  • SourcePort: 送信元ポート番号 (ハイポート)
    • 211 |
  • User: 実行ユーザー
    • 212 |
セキュリティ5158フィルタリング プラットフォームの接続Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
    220 |
  • アプリケーション情報 > プロセスID: プロセスID
    • 221 |
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\[検体のパス])
    • 222 |
  • ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
    • 223 |
  • ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
    • 224 |
セキュリティ5156フィルタリング プラットフォームの接続Windows フィルターリング プラットフォームで、接続が許可されました。
    232 |
  • アプリケーション情報 > プロセスID: プロセスID
    • 233 |
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\[検体のパス])
    • 234 |
  • ネットワーク情報 > 方向: 通信方向 (送信)
    • 235 |
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元)
    • 236 |
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
    • 237 |
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (ドメインコントローラー)
    • 238 |
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (389)
    • 239 |
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
    • 240 |
3Microsoft-Windows-Sysmon/Operational3Network connection detected (rule: NetworkConnect)Network connection detected.
    248 |
  • DestinationPort: 宛先ポート番号 (ハイポート)
    • 249 |
  • Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
    • 250 |
  • ProcessGuid/ProcessId: プロセスID
    • 251 |
  • Protocol: プロトコル
    • 252 |
  • SourcePort: 送信元ポート番号 (389)
    • 253 |
  • User: 実行ユーザー
    • 254 |
セキュリティ5156フィルタリング プラットフォームの接続Windows フィルターリング プラットフォームで、接続が許可されました。
    262 |
  • アプリケーション情報 > プロセスID: プロセスID
    • 263 |
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
    • 264 |
  • ネットワーク情報 > 方向: 通信方向 (着信)
    • 265 |
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (ドメインコントローラー)
    • 266 |
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (389)
    • 267 |
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続元)
    • 268 |
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート)
    • 269 |
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
    • 270 |
4Microsoft-Windows-Sysmon/Operational5Process terminated (rule: ProcessTerminate)Process terminated.
    278 |
  • UtcTime: プロセス終了日時 (UTC)
    • 279 |
  • ProcessGuid/ProcessId: プロセスID
    • 280 |
  • Image: 実行ファイルのパス (検体のパス)
    • 281 |
セキュリティ4689プロセス終了プロセスが終了しました。
    289 |
  • ログの日時: プロセス終了日時 (ローカル時刻)
    • 290 |
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
    • 291 |
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
    • 292 |
  • プロセス情報 > プロセスID: プロセスID (16進数)
    • 293 |
  • プロセス情報 > プロセス名: 実行ファイルのパス (検体のパス)
    • 294 |
  • プロセス情報 > 終了状態: プロセスの戻り値 (成功の場合は0x0)
    • 295 |
299 |
300 |
301 |
302 |

- 備考

303 |
304 | 307 |
308 | 309 | 310 | -------------------------------------------------------------------------------- /details/klist-purge.htm: -------------------------------------------------------------------------------- 1 | 2 | 3 | 4 | 5 | klist purge 6 | 7 | 8 | 9 | 10 |

klist purge

11 |

- 目次

12 |
13 | 21 |

全てのセクションを開く | 全てのセクションを閉じる

22 |
23 |
24 |

- ツール概要

25 |
26 |
27 |
カテゴリ
28 |
痕跡の削除
29 |
説明
30 |
保存されたKerberosチケットを削除する。
31 |
攻撃時における想定利用例
32 |
攻撃時に使用したKerberosチケットをホストから削除する。
33 |
34 |
35 |

- ツール動作概要

36 |
37 | 38 | 39 | 40 | 41 | 42 | 43 | 44 | 45 | 46 | 47 | 48 | 49 | 50 | 51 | 52 | 53 | 54 | 55 | 56 | 57 | 58 |
項目内容
権限標準ユーザー
ドメインへの所属
OSWindows
59 |
60 |

- ログから得られる情報

61 |
62 |
63 |
標準設定
64 |
    65 |
  • ホスト
      66 |
    • 実行履歴 (Prefetch)
      • 67 |
    • 68 |
69 |
追加設定
70 |
    71 |
  • ホスト
      72 |
    • 実行履歴 (監査ポリシー)
      • 73 |
    • 74 |
75 |
76 |
77 |

- 実行成功時に確認できる痕跡

78 |
79 | 82 |
83 |

- 実行時に記録される主要な情報

84 |
85 |

- ホスト

86 |
87 |

イベントログ

88 | 89 | 90 | 91 | 92 | 93 | 94 | 95 | 96 | 97 | 98 | 99 | 100 | 101 | 102 | 103 | 104 | 111 | 112 | 113 | 114 | 115 | 116 | 117 | 123 | 124 | 125 |
#ログイベントIDタスクのカテゴリイベント内容
1Microsoft-Windows-Sysmon/Operational1Process Create (rule: ProcessCreate)Process Create.
    105 |
  • UtcTime: プロセス実行日時 (UTC)
    • 106 |
  • ProcessGuid/ProcessId: プロセスID
    • 107 |
  • Image: 実行ファイルのパス (C:\Windows\System32\klist.exe)
    • 108 |
  • CommandLine: 実行コマンドのコマンドライン (klist purge)
    • 109 |
  • User: 実行ユーザー
    • 110 |
2セキュリティ4689プロセス終了プロセスが終了しました。
    118 |
  • ログの日時: プロセス終了日時 (ローカル時刻)
    • 119 |
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
    • 120 |
  • プロセス情報 > プロセス名: 実行ファイルのパス (C:\Windows\System32\klist.exe)
    • 121 |
  • プロセス情報 > 終了状態: プロセスの戻り値 (0x0)
    • 122 |
126 |
127 |
128 |
129 |

- 詳細:ホスト

130 |
131 |

- イベントログ

132 |
133 | 134 | 135 | 136 | 137 | 138 | 139 | 140 | 141 | 142 | 143 | 144 | 145 | 146 | 147 | 148 | 149 | 163 | 164 | 165 | 166 | 167 | 168 | 169 | 180 | 181 | 182 | 183 | 184 | 185 | 186 | 191 | 192 | 193 | 194 | 195 | 196 | 197 | 205 | 206 | 207 | 208 | 209 | 210 | 211 | 221 | 222 | 223 | 224 | 225 | 226 | 227 | 239 | 240 | 241 | 242 | 243 | 244 | 245 | 252 | 253 | 254 |
#イベントログイベントIDタスクのカテゴリイベント内容
1Microsoft-Windows-Sysmon/Operational1Process Create (rule: ProcessCreate)Process Create.
    150 |
  • UtcTime: プロセス実行日時 (UTC)
    • 151 |
  • ProcessGuid/ProcessId: プロセスID
    • 152 |
  • Image: 実行ファイルのパス (C:\Windows\System32\klist.exe)
    • 153 |
  • CommandLine: 実行コマンドのコマンドライン (klist purge)
    • 154 |
  • CurrentDirectory: 作業ディレクトリ
    • 155 |
  • User: 実行ユーザー
    • 156 |
  • LogonGuid/LogonId: ログオンセッションのID
    • 157 |
  • IntegrityLevel: 特権レベル (Medium)
    • 158 |
  • Hashes: 実行ファイルのハッシュ値
    • 159 |
  • ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID
    • 160 |
  • ParentImage: 親プロセスの実行ファイル
    • 161 |
  • ParentCommandLine: 親プロセスのコマンドライン
    • 162 |
セキュリティ4688プロセス作成新しいプロセスが作成されました。
    170 |
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
    • 171 |
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
    • 172 |
  • プロセス情報 > 新しいプロセスID: プロセスID (16進数)
    • 173 |
  • プロセス情報 > 新しいプロセス名: 実行ファイルのパス (C:\Windows\System32\klist.exe)
    • 174 |
  • プロセス情報 > トークン昇格の種類: 権限昇格の有無 (1)
    • 175 |
  • プロセス情報 > 必須ラベル: 権限昇格の要否
    • 176 |
  • プロセス情報 > 作成元プロセスID: 新プロセスを作成した親プロセスのプロセスID。Windows 7では「クリエイター プロセスID」
    • 177 |
  • プロセス情報 > 作成元プロセス名: 新プロセスを作成した親プロセスのパス
    • 178 |
  • ログの日時: プロセス実行日時 (ローカル時刻)
    • 179 |
2Microsoft-Windows-Sysmon/Operational5Process terminated (rule: ProcessTerminate)Process terminated.
    187 |
  • UtcTime: プロセス終了日時 (UTC)
    • 188 |
  • ProcessGuid/ProcessId: プロセスID
    • 189 |
  • Image: 実行ファイルのパス (C:\Windows\System32\klist.exe)
    • 190 |
セキュリティ4689プロセス終了プロセスが終了しました。
    198 |
  • ログの日時: プロセス終了日時 (ローカル時刻)
    • 199 |
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
    • 200 |
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
    • 201 |
  • プロセス情報 > プロセスID: プロセスID (16進数)
    • 202 |
  • プロセス情報 > プロセス名: 実行ファイルのパス (C:\Windows\System32\klist.exe)
    • 203 |
  • プロセス情報 > 終了状態: プロセスの戻り値 (0x0)
    • 204 |
3セキュリティ4656ファイル システム / その他のオブジェクト アクセス イベントオブジェクトに対するハンドルが要求されました。
    212 |
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
    • 213 |
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
    • 214 |
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
    • 215 |
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\KLIST.EXE-[文字列].pf)
    • 216 |
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
    • 217 |
  • プロセス情報 > プロセスID: プロセスID (16進数)
    • 218 |
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
    • 219 |
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限
    • 220 |
セキュリティ4663ファイル システムオブジェクトへのアクセスが試行されました。
    228 |
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
    • 229 |
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
    • 230 |
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
    • 231 |
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\KLIST.EXE-[文字列].pf)
    • 232 |
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
    • 233 |
  • プロセス情報 > プロセスID: プロセスID (16進数)
    • 234 |
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
    • 235 |
  • アクセス要求情報 > アクセス: 要求された権限
    • 236 |
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限
    • 237 |
  • 成功の監査: 成否 (アクセス成功)
    • 238 |
セキュリティ4658ファイル システムオブジェクトに対するハンドルが閉じました。
    246 |
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
    • 247 |
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
    • 248 |
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
    • 249 |
  • プロセス情報 > プロセスID: プロセスID (16進数)
    • 250 |
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\svchost.exe)
    • 251 |
255 |
256 |

- MFT

257 |
258 | 259 | 260 | 261 | 262 | 263 | 264 | 265 | 266 | 267 | 268 | 269 | 270 | 271 | 272 | 273 | 274 | 275 |
#パスヘッダフラグ有効
1[ドライブ名]:\Windows\Prefetch\KLIST.EXE-[文字列].pfFILEALLOCATED
276 |
277 |

- Prefetch

278 |
279 | 280 | 281 | 282 | 283 | 284 | 285 | 286 | 287 | 288 | 289 | 290 | 291 | 292 | 293 | 294 | 295 | 296 | 297 | 298 |
#Prefetchファイルプロセス名プロセスパスログから得られる情報
1C:\Windows\Prefetch\KLIST.EXE-[文字列].pfKLIST.EXEC:\WINDOWS\SYSTEM32\KLIST.EXELast Run Time (最終実行日時)
299 |
300 |

- USNジャーナル

301 |
302 | 303 | 304 | 305 | 306 | 307 | 308 | 309 | 310 | 311 | 312 | 313 | 314 | 315 | 316 | 317 | 318 | 319 | 320 | 321 | 322 | 323 | 324 | 325 | 326 | 327 | 328 | 329 | 330 | 331 |
#ファイル名処理属性
1KLIST.EXE-[文字列].pfFILE_CREATEarchive+not_indexed
KLIST.EXE-[文字列].pfDATA_EXTEND+FILE_CREATEarchive+not_indexed
KLIST.EXE-[文字列].pfCLOSE+DATA_EXTEND+FILE_CREATEarchive+not_indexed
332 |
333 |
334 | 335 | 336 | -------------------------------------------------------------------------------- /details/ldifde.htm: -------------------------------------------------------------------------------- 1 | 2 | 3 | 4 | 5 | ldifde 6 | 7 | 8 | 9 | 10 |

ldifde

11 |

- 目次

12 |
13 | 22 |

全てのセクションを開く | 全てのセクションを閉じる

23 |
24 |
25 |

- ツール概要

26 |
27 |
28 |
カテゴリ
29 |
情報収集
30 |
説明
31 |
Active Directory上のアカウント情報をLDIF形式で出力する。
32 |
攻撃時における想定利用例
33 |
Active Directoryからアカウント情報を収集し、攻撃対象として利用可能なユーザーやホストを選択する。
34 |
35 |
36 |

- ツール動作概要

37 |
38 | 39 | 40 | 41 | 42 | 43 | 44 | 45 | 46 | 47 | 48 | 49 | 50 | 51 | 52 | 53 | 54 | 55 | 56 | 57 | 58 | 59 | 60 | 61 | 62 | 63 | 64 | 65 | 66 | 67 |
項目内容
ドメインへの所属不要
サービスActive Directory Domain Services
OSWindows Server
権限標準ユーザー
通信プロトコル389/tcp
68 |
69 |

- ログから得られる情報

70 |
71 |
72 |
標準設定
73 |
    74 |
  • ホスト
      75 |
    • 実行履歴 (Prefetch)
      • 76 |
    • 77 |
78 |
追加設定
79 |
    80 |
  • ホスト
      81 |
    • アカウント情報を保存したLDIFファイルが作成される (監査ポリシー, Sysmon, USNジャーナル)
      • 82 |
    • 83 |
84 |
85 |
86 |

- 実行成功時に確認できる痕跡

87 |
88 | 91 |
92 |

- 実行時に記録される主要な情報

93 |
94 |

- ドメインコントローラー

95 |
96 |

イベントログ

97 | 98 | 99 | 100 | 101 | 102 | 103 | 104 | 105 | 106 | 107 | 108 | 109 | 110 | 111 | 112 | 113 | 120 | 121 | 122 | 123 | 124 | 125 | 126 | 132 | 133 | 134 |
#ログイベントIDタスクのカテゴリイベント内容
1Microsoft-Windows-Sysmon/Operational1Process Create (rule: ProcessCreate)Process Create.
    114 |
  • UtcTime: プロセス実行日時 (UTC)
    • 115 |
  • ProcessGuid/ProcessId: プロセスID
    • 116 |
  • CommandLine: 実行コマンドのコマンドライン (検体のパス。"-f"オプションで出力ファイル名が分かる。また、フィルターを使用した場合はフィルター条件も分かる)
    • 117 |
  • Image: 実行ファイルのパス (検体のパス)
    • 118 |
  • User: 実行ユーザー
    • 119 |
2セキュリティ4663ファイル システムオブジェクトへのアクセスが試行されました。
    127 |
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
    • 128 |
  • オブジェクト > オブジェクト名: 対象のファイル名 (検体実行時に"-f"オプションで指定されたLDIFファイル)
    • 129 |
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (検体のパス)
    • 130 |
  • アクセス要求情報 > アクセス: 要求された権限 (WriteDataまたはAddFile, AppendData)
    • 131 |
135 |

USNジャーナル

136 | 137 | 138 | 139 | 140 | 141 | 142 | 143 | 144 | 145 | 146 | 147 | 148 | 149 | 150 | 151 |
#ファイル名処理
1[検体実行時に"-f"オプションで指定されたLDIFファイル]FILE_CREATE
152 |
153 |
154 |
155 |

- 詳細:ドメインコントローラー

156 |
157 |

- イベントログ

158 |
159 | 160 | 161 | 162 | 163 | 164 | 165 | 166 | 167 | 168 | 169 | 170 | 171 | 172 | 173 | 174 | 175 | 187 | 188 | 189 | 190 | 191 | 192 | 193 | 204 | 205 | 206 | 207 | 208 | 209 | 210 | 216 | 217 | 218 | 219 | 220 | 221 | 222 | 229 | 230 | 231 | 232 | 233 | 234 | 235 | 242 | 243 | 244 | 245 | 246 | 247 | 248 | 255 | 256 | 257 | 258 | 259 | 260 | 261 | 271 | 272 | 273 | 274 | 275 | 276 | 277 | 288 | 289 | 290 | 291 | 292 | 293 | 294 | 301 | 302 | 303 | 304 | 305 | 306 | 307 | 313 | 314 | 315 | 316 | 317 | 318 | 319 | 325 | 326 | 327 | 328 | 329 | 330 | 331 | 336 | 337 | 338 |
#イベントログイベントIDタスクのカテゴリイベント内容
1Microsoft-Windows-Sysmon/Operational1Process Create (rule: ProcessCreate)Process Create.
    176 |
  • CommandLine: 実行コマンドのコマンドライン (検体のパス。"-f"オプションで出力ファイル名が分かる。また、フィルターを使用した場合はフィルター条件も分かる)
    • 177 |
  • Hashes: 実行ファイルのハッシュ値
    • 178 |
  • Image: 実行ファイルのパス (検体のパス)
    • 179 |
  • LogonGuid/LogonId: ログオンセッションのID
    • 180 |
  • ParentCommandLine: 親プロセスのコマンドライン
    • 181 |
  • ParentImage: 親プロセスの実行ファイル
    • 182 |
  • ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID
    • 183 |
  • ProcessGuid/ProcessId: プロセスID
    • 184 |
  • User: 実行ユーザー
    • 185 |
  • UtcTime: プロセス実行日時 (UTC)
    • 186 |
セキュリティ4688プロセス作成新しいプロセスが作成されました。
    194 |
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
    • 195 |
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
    • 196 |
  • プロセス情報 > トークン昇格の種類: 権限昇格の有無 (1)
    • 197 |
  • プロセス情報 > 新しいプロセスID: プロセスID (16進数)
    • 198 |
  • プロセス情報 > 新しいプロセス名: 実行ファイルのパス
    • 199 |
  • プロセス情報 > 作成元プロセスID: 新プロセスを作成した親プロセスのプロセスID。Windows 7では「クリエイター プロセスID」
    • 200 |
  • プロセス情報 > 作成元プロセス名: 新プロセスを作成した親プロセスのパス
    • 201 |
  • プロセス情報 > 必須ラベル: 権限昇格の要否
    • 202 |
  • ログの日時: プロセス実行日時 (ローカル時刻)
    • 203 |
2セキュリティ5158フィルタリング プラットフォームの接続Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
    211 |
  • アプリケーション情報 > プロセスID: プロセスID
    • 212 |
  • アプリケーション情報 > アプリケーション名: 実行プロセス (検体のパス)
    • 213 |
  • ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
    • 214 |
  • ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
    • 215 |
セキュリティ5156フィルタリング プラットフォームの接続Windows フィルターリング プラットフォームで、接続が許可されました。
    223 |
  • アプリケーション情報 > プロセスID: プロセスID
    • 224 |
  • アプリケーション情報 > アプリケーション名: 実行プロセス (検体のパス)
    • 225 |
  • ネットワーク情報 > 方向: 通信方向 (送信)
    • 226 |
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (389)
    • 227 |
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
    • 228 |
3セキュリティ5156フィルタリング プラットフォームの接続Windows フィルターリング プラットフォームで、接続が許可されました。
    236 |
  • アプリケーション情報 > プロセスID: プロセスID
    • 237 |
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
    • 238 |
  • ネットワーク情報 > 方向: 通信方向 (着信)
    • 239 |
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (389)
    • 240 |
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
    • 241 |
Microsoft-Windows-Sysmon/Operational10Process accessed (rule: ProcessAccess)Process accessed.
    249 |
  • SourceImage: アクセス元プロセスのパス (C:\Windows\system32\lsass.exe)
    • 250 |
  • SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID
    • 251 |
  • TargetImage: アクセス先プロセスのパス (検体のパス)
    • 252 |
  • TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID
    • 253 |
  • GrantedAccess: 許可されたアクセスの内容 (0x1478)
    • 254 |
4セキュリティ4656ファイル システム / その他のオブジェクト アクセス イベントオブジェクトに対するハンドルが要求されました。
    262 |
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
    • 263 |
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
    • 264 |
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
    • 265 |
  • オブジェクト > オブジェクト名: 対象のファイル名 (検体実行時に"-f"オプションで指定されたLDIFファイル)
    • 266 |
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
    • 267 |
  • プロセス情報 > プロセスID: プロセスID (16進数)
    • 268 |
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名
    • 269 |
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
    • 270 |
セキュリティ4663ファイル システムオブジェクトへのアクセスが試行されました。
    278 |
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
    • 279 |
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
    • 280 |
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
    • 281 |
  • オブジェクト > オブジェクト名: 対象のファイル名 (検体実行時に"-f"オプションで指定されたLDIFファイル)
    • 282 |
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドル)
    • 283 |
  • プロセス情報 > プロセスID: プロセスID (16進数)
    • 284 |
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (検体のパス)
    • 285 |
  • アクセス要求情報 > アクセス: 要求された権限 (WriteDataまたはAddFile, AppendData)
    • 286 |
  • 成功の監査: 成否 (アクセス成功)
    • 287 |
セキュリティ4658ファイル システムオブジェクトに対するハンドルが閉じました。
    295 |
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
    • 296 |
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
    • 297 |
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドル)
    • 298 |
  • プロセス情報 > プロセスID: プロセスID (16進数)
    • 299 |
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (検体のパス)
    • 300 |
Microsoft-Windows-Sysmon/Operational11File created (rule: FileCreate)File created.
    308 |
  • CreationUtcTime: ファイル作成日時 (UTC)
    • 309 |
  • Image: 実行ファイルのパス (検体のパス)
    • 310 |
  • ProcessGuid/ProcessId: プロセスID
    • 311 |
  • TargetFilename: 作成されたファイル (検体実行時に"-f"オプションで指定されたLDIFファイル)
    • 312 |
5セキュリティ4689プロセス終了プロセスが終了しました。
    320 |
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
    • 321 |
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
    • 322 |
  • プロセス情報 > プロセスID: プロセスID (16進数)
    • 323 |
  • プロセス情報 > プロセス名: 実行ファイルのパス (検体のパス)
    • 324 |
Microsoft-Windows-Sysmon/Operational5Process terminated (rule: ProcessTerminate)Process terminated.
    332 |
  • UtcTime: プロセス終了日時 (UTC)
    • 333 |
  • ProcessGuid/ProcessId: プロセスID
    • 334 |
  • Image: 実行ファイルのパス (検体のパス)
    • 335 |
339 |
340 |

- MFT

341 |
342 | 343 | 344 | 345 | 346 | 347 | 348 | 349 | 350 | 351 | 352 | 353 | 354 | 355 | 356 | 357 | 358 | 359 |
#パスヘッダフラグ有効
1[検体実行時に"-f"オプションで指定されたLDIFファイル]FILEALLOCATED
360 |
361 |

- USNジャーナル

362 |
363 | 364 | 365 | 366 | 367 | 368 | 369 | 370 | 371 | 372 | 373 | 374 | 375 | 376 | 377 | 378 | 379 | 380 | 381 | 382 | 383 | 384 | 385 | 386 | 387 | 388 | 389 | 390 | 391 | 392 |
#ファイル名処理属性
1[検体実行時に"-f"オプションで指定されたLDIFファイル]FILE_CREATEarchive
[検体実行時に"-f"オプションで指定されたLDIFファイル]DATA_EXTEND+FILE_CREATEarchive
[検体実行時に"-f"オプションで指定されたLDIFファイル]CLOSE+DATA_EXTEND+FILE_CREATEarchive
393 |
394 |
395 |
396 |

- 備考

397 |
398 | 402 |
403 | 404 | 405 | -------------------------------------------------------------------------------- /details/lslsass.htm: -------------------------------------------------------------------------------- 1 | 2 | 3 | 4 | 5 | lslsass 6 | 7 | 8 | 9 | 10 |

lslsass

11 |

- 目次

12 |
13 | 21 |

全てのセクションを開く | 全てのセクションを閉じる

22 |
23 |
24 |

- ツール概要

25 |
26 |
27 |
カテゴリ
28 |
パスワード、ハッシュ入手
29 |
説明
30 |
lsassプロセスから、有効なログオンセッションのパスワードハッシュを取得する。
31 |
攻撃時における想定利用例
32 |
取得したパスワードハッシュ値を使用してリモートホストにログオンする。
33 |
34 |
35 |

- ツール動作概要

36 |
37 | 38 | 39 | 40 | 41 | 42 | 43 | 44 | 45 | 46 | 47 | 48 | 49 | 50 | 51 | 52 | 53 | 54 | 55 | 56 | 57 | 58 |
項目内容
OSWindows 7 32bit
ドメインへの所属不要
権限管理者ユーザー
59 |
60 |

- ログから得られる情報

61 |
62 |
63 |
標準設定
64 |
    65 |
  • ホスト
      66 |
    • 実行履歴 (Prefetch)
      • 67 |
    • 68 |
69 |
追加設定
70 |
    71 |
  • ホスト
      72 |
    • 実行履歴 (監査ポリシー, Sysmon)
      • 73 |
    • lsass.exeへのアクセス履歴 (Sysmon)
      • 74 |
    • 75 |
76 |
77 |
78 |

- 実行成功時に確認できる痕跡

79 |
80 | 83 |
84 |

- 実行時に記録される主要な情報

85 |
86 |

- ホスト

87 |
88 |

イベントログ

89 | 90 | 91 | 92 | 93 | 94 | 95 | 96 | 97 | 98 | 99 | 100 | 101 | 102 | 103 | 104 | 105 | 112 | 113 | 114 | 115 | 116 | 117 | 118 | 125 | 126 | 127 | 128 | 129 | 130 | 131 | 139 | 140 | 141 |
#ログイベントIDタスクのカテゴリイベント内容
1Microsoft-Windows-Sysmon/Operational1Process Create (rule: ProcessCreate)Process Create.
    106 |
  • UtcTime: プロセス実行日時 (UTC)
    • 107 |
  • ProcessGuid/ProcessId: プロセスID
    • 108 |
  • Image: 実行ファイルのパス (検体の実行ファイル名)
    • 109 |
  • CommandLine: 実行コマンドのコマンドライン
    • 110 |
  • User: 実行ユーザー
    • 111 |
2Microsoft-Windows-Sysmon/Operational10Process accessed (rule: ProcessAccess)Process accessed.
    119 |
  • SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID
    • 120 |
  • SourceImage: アクセス元プロセスのパス (検体の実行ファイル名)
    • 121 |
  • TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID
    • 122 |
  • TargetImage: アクセス先プロセスのパス (C:\Windows\system32\lsass.exe)
    • 123 |
  • GrantedAccess: 許可されたアクセスの内容 (0x1438)
    • 124 |
3セキュリティ4689プロセス終了プロセスが終了しました。
    132 |
  • ログの日時: プロセス終了日時 (ローカル時刻)
    • 133 |
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
    • 134 |
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
    • 135 |
  • プロセス情報 > プロセスID: プロセスID (16進数)
    • 136 |
  • プロセス情報 > プロセス名: 実行ファイルのパス (検体の実行ファイル名)
    • 137 |
  • プロセス情報 > 終了状態: プロセスの戻り値 (成功時は"0x0")
    • 138 |
142 |

MFT

143 | 144 | 145 | 146 | 147 | 148 | 149 | 150 | 151 | 152 | 153 | 154 | 155 | 156 | 157 | 158 | 159 | 160 |
#パスヘッダフラグ有効
1[ドライブ名]:\Windows\Prefetch\[検体の実行ファイル名]-[文字列].pfFILEALLOCATED
161 |

Prefetch

162 | 165 |

USNジャーナル

166 | 167 | 168 | 169 | 170 | 171 | 172 | 173 | 174 | 175 | 176 | 177 | 178 | 179 | 180 | 181 |
#ファイル名処理
1[検体の実行ファイル名]-[文字列].pfCLOSE+DATA_EXTEND+FILE_CREATE
182 |
183 |
184 |
185 |

- 詳細:ホスト

186 |
187 |

- イベントログ

188 |
189 | 190 | 191 | 192 | 193 | 194 | 195 | 196 | 197 | 198 | 199 | 200 | 201 | 202 | 203 | 204 | 205 | 219 | 220 | 221 | 222 | 223 | 224 | 225 | 234 | 235 | 236 | 237 | 238 | 239 | 240 | 247 | 248 | 249 | 250 | 251 | 252 | 253 | 258 | 259 | 260 | 261 | 262 | 263 | 264 | 272 | 273 | 274 | 275 | 276 | 277 | 278 | 284 | 285 | 286 | 287 | 288 | 289 | 290 | 300 | 301 | 302 | 303 | 304 | 305 | 306 | 316 | 317 | 318 | 319 | 320 | 321 | 322 | 329 | 330 | 331 |
#イベントログイベントIDタスクのカテゴリイベント内容
1Microsoft-Windows-Sysmon/Operational1Process Create (rule: ProcessCreate)Process Create.
    206 |
  • UtcTime: プロセス実行日時 (UTC)
    • 207 |
  • ProcessGuid/ProcessId: プロセスID
    • 208 |
  • Image: 実行ファイルのパス (検体の実行ファイル名)
    • 209 |
  • CommandLine: 実行コマンドのコマンドライン
    • 210 |
  • CurrentDirectory: 作業ディレクトリ
    • 211 |
  • User: 実行ユーザー
    • 212 |
  • LogonGuid/LogonId: ログオンセッションのID
    • 213 |
  • IntegrityLevel: 特権レベル
    • 214 |
  • Hashes: 実行ファイルのハッシュ値
    • 215 |
  • ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID
    • 216 |
  • ParentImage: 親プロセスの実行ファイル
    • 217 |
  • ParentCommandLine: 親プロセスのコマンドライン
    • 218 |
セキュリティ4688プロセス作成新しいプロセスが作成されました。
    226 |
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
    • 227 |
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
    • 228 |
  • プロセス情報 > トークン昇格の種類: 権限昇格の有無 (1)
    • 229 |
  • プロセス情報 > 新しいプロセスID: プロセスID (16進数)
    • 230 |
  • プロセス情報 > 新しいプロセス名: 実行ファイルのパス (検体の実行ファイル名)
    • 231 |
  • プロセス情報 > 作成元プロセスID: 新プロセスを作成した親プロセスのプロセスID。Windows 7では「クリエイター プロセスID」
    • 232 |
  • ログの日時: プロセス実行日時 (ローカル時刻)
    • 233 |
2Microsoft-Windows-Sysmon/Operational10Process accessed (rule: ProcessAccess)Process accessed.
    241 |
  • SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID
    • 242 |
  • SourceImage: アクセス元プロセスのパス (検体の実行ファイル名)
    • 243 |
  • TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID
    • 244 |
  • TargetImage: アクセス先プロセスのパス (C:\Windows\system32\lsass.exe)
    • 245 |
  • GrantedAccess: 許可されたアクセスの内容 (0x1438)
    • 246 |
3Microsoft-Windows-Sysmon/Operational5Process terminated (rule: ProcessTerminate)Process terminated.
    254 |
  • UtcTime: プロセス終了日時 (UTC)
    • 255 |
  • ProcessGuid/ProcessId: プロセスID
    • 256 |
  • Image: 実行ファイルのパス (検体の実行ファイル名)
    • 257 |
セキュリティ4689プロセス終了プロセスが終了しました。
    265 |
  • ログの日時: プロセス終了日時 (ローカル時刻)
    • 266 |
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
    • 267 |
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
    • 268 |
  • プロセス情報 > プロセスID: プロセスID (16進数)
    • 269 |
  • プロセス情報 > プロセス名: 実行ファイルのパス (検体の実行ファイル名)
    • 270 |
  • プロセス情報 > 終了状態: プロセスの戻り値 (成功時は"0x0")
    • 271 |
4Microsoft-Windows-Sysmon/Operational11File created (rule: FileCreate)File created.
    279 |
  • ProcessGuid/ProcessId: プロセスID
    • 280 |
  • Image: 実行ファイルのパス (検体の実行ファイル名)
    • 281 |
  • TargetFilename: 作成されたファイル (C:\Windows\Prefetch\[検体の実行ファイル名]-[文字列].pf)
    • 282 |
  • CreationUtcTime: ファイル作成日時 (UTC)
    • 283 |
セキュリティ4656ファイル システム / その他のオブジェクト アクセス イベントオブジェクトに対するハンドルが要求されました。
    291 |
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
    • 292 |
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
    • 293 |
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
    • 294 |
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\[検体の実行ファイル名]-[文字列].pf)
    • 295 |
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
    • 296 |
  • プロセス情報 > プロセスID: プロセスID (16進数)
    • 297 |
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
    • 298 |
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
    • 299 |
セキュリティ4663ファイル システムオブジェクトへのアクセスが試行されました。
    307 |
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
    • 308 |
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
    • 309 |
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
    • 310 |
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\[検体の実行ファイル名]-[文字列].pf)
    • 311 |
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドルID)
    • 312 |
  • プロセス情報 > プロセスID: プロセスID (16進数)
    • 313 |
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
    • 314 |
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendData)
    • 315 |
セキュリティ4658ファイル システムオブジェクトに対するハンドルが閉じました。
    323 |
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
    • 324 |
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
    • 325 |
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドルID)
    • 326 |
  • プロセス情報 > プロセスID: プロセスID (16進数)
    • 327 |
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\svchost.exe)
    • 328 |
332 |
333 |

- MFT

334 |
335 | 336 | 337 | 338 | 339 | 340 | 341 | 342 | 343 | 344 | 345 | 346 | 347 | 348 | 349 | 350 | 351 | 352 |
#パスヘッダフラグ有効
1[ドライブ名]:\Windows\Prefetch\[検体の実行ファイル名]-[文字列].pfFILEALLOCATED
353 |
354 |

- Prefetch

355 |
356 | 357 | 358 | 359 | 360 | 361 | 362 | 363 | 364 | 365 | 366 | 367 | 368 | 369 | 370 | 371 | 372 | 373 | 374 | 375 |
#Prefetchファイルプロセス名プロセスパスログから得られる情報
1C:\Windows\Prefetch\[検体の実行ファイル名]-[文字列].pf検体の実行ファイル名\VOLUME{[GUID]}\[検体のパス]Last Run Time (最終実行日時)
376 |
377 |

- USNジャーナル

378 |
379 | 380 | 381 | 382 | 383 | 384 | 385 | 386 | 387 | 388 | 389 | 390 | 391 | 392 | 393 | 394 | 395 | 396 | 397 | 398 | 399 | 400 | 401 | 402 | 403 | 404 | 405 | 406 | 407 | 408 |
#ファイル名処理属性
1[検体の実行ファイル名]-[文字列].pfFILE_CREATEarchive+not_indexed
[検体の実行ファイル名]-[文字列].pfDATA_EXTEND+FILE_CREATEarchive+not_indexed
[検体の実行ファイル名]-[文字列].pfCLOSE+DATA_EXTEND+FILE_CREATEarchive+not_indexed
409 |
410 |
411 | 412 | 413 | -------------------------------------------------------------------------------- /details/timestomp.htm: -------------------------------------------------------------------------------- 1 | 2 | 3 | 4 | 5 | timestomp 6 | 7 | 8 | 9 | 10 |

timestomp

11 |

- 目次

12 |
13 | 21 |

全てのセクションを開く | 全てのセクションを閉じる

22 |
23 |
24 |

- ツール概要

25 |
26 |
27 |
カテゴリ
28 |
痕跡の削除
29 |
説明
30 |
ファイルのタイムスタンプを変更する。
31 |
攻撃時における想定利用例
32 |
攻撃者が利用したことでタイムスタンプが変更されたファイルのタイムスタンプを戻すことで、ファイルに対してアクセスしたことを隠蔽する。
33 |
34 |
35 |

- ツール動作概要

36 |
37 | 38 | 39 | 40 | 41 | 42 | 43 | 44 | 45 | 46 | 47 | 48 | 49 | 50 | 51 | 52 | 53 | 54 | 55 | 56 | 57 | 58 |
項目内容
権限管理ユーザー
OSWindows
ドメインへの所属不要
59 |
60 |

- ログから得られる情報

61 |
62 |
63 |
標準設定
64 |
    65 |
  • ホスト
      66 |
    • 実行履歴 (Prefetch)
      • 67 |
    • 68 |
69 |
追加設定
70 |
    71 |
  • ホスト
      72 |
    • ファイル作成日時変更の記録 (Sysmon)
      • 73 |
    • 実行履歴 (監査ポリシー, Sysmon)
      • 74 |
    • 75 |
76 |
77 |
78 |

- 実行成功時に確認できる痕跡

79 |
80 | 83 |
84 |

- 実行時に記録される主要な情報

85 |
86 |

- ホスト

87 |
88 |

イベントログ

89 | 90 | 91 | 92 | 93 | 94 | 95 | 96 | 97 | 98 | 99 | 100 | 101 | 102 | 103 | 104 | 105 | 112 | 113 | 114 | 115 | 116 | 117 | 118 | 123 | 124 | 125 | 126 | 127 | 128 | 129 | 136 | 137 | 138 | 139 | 140 | 141 | 142 | 148 | 149 | 150 |
#ログイベントIDタスクのカテゴリイベント内容
1Microsoft-Windows-Sysmon/Operational1Process Create (rule: ProcessCreate)Process Create.
    106 |
  • UtcTime: プロセス実行日時 (UTC)
    • 107 |
  • ProcessGuid/ProcessId: プロセスID
    • 108 |
  • Image: 実行ファイルのパス (検体の実行ファイル名)
    • 109 |
  • CommandLine: 実行コマンドのコマンドライン (オプション内に変更されたタイムスタンプの項目と、変更後の日時が含まれる)
    • 110 |
  • User: 実行ユーザー
    • 111 |
2セキュリティ4656ファイル システム / その他のオブジェクト アクセス イベントオブジェクトに対するハンドルが要求されました。
    119 |
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
    • 120 |
  • オブジェクト > オブジェクト名: 対象のファイル名 (タイムスタンプが変更されたファイル)
    • 121 |
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (SYNCHRONIZE、ReadAttributes、WriteAttributes)
    • 122 |
3セキュリティ4663ファイル システムオブジェクトへのアクセスが試行されました。
    130 |
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
    • 131 |
  • オブジェクト > オブジェクト名: 対象のファイル名 (タイムスタンプが変更されたファイル)
    • 132 |
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (先にイベントID: 4656で要求されたハンドルID)
    • 133 |
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteAttributes)
    • 134 |
  • 成功の監査: 成否 (アクセス成功) (成功であれば、タイムスタンプの変更が成功)
    • 135 |
4Microsoft-Windows-Sysmon/Operational2File creation time changed (rule: FileCreateTime)File creation time changed.
    143 |
  • UtcTime: 変更が発生した日時 (UTC)
    • 144 |
  • TargetFilename: 変更されたファイルの名前
    • 145 |
  • CreationUtcTime: 変更後のタイムスタンプ (UTC)
    • 146 |
  • PreviousCreationUtcTime: 変更前のタイムスタンプ (UTC)
    • 147 |
151 |

Prefetch

152 | 155 |

USNジャーナル

156 | 157 | 158 | 159 | 160 | 161 | 162 | 163 | 164 | 165 | 166 | 167 | 168 | 169 | 170 | 171 | 172 | 173 | 174 | 175 | 176 |
#ファイル名処理
1[変更対象のファイル]BASIC_INFO_CHANGE+CLOSE
2[検体の実行ファイル名]-[文字列].pfCLOSE+DATA_EXTEND+FILE_CREATE
177 |
178 |
179 |
180 |

- 詳細:ホスト

181 |
182 |

- イベントログ

183 |
184 | 185 | 186 | 187 | 188 | 189 | 190 | 191 | 192 | 193 | 194 | 195 | 196 | 197 | 198 | 199 | 200 | 212 | 213 | 214 | 215 | 216 | 217 | 218 | 229 | 230 | 231 | 232 | 233 | 234 | 235 | 242 | 243 | 244 | 245 | 246 | 247 | 248 | 256 | 257 | 258 | 259 | 260 | 261 | 262 | 269 | 270 | 271 | 272 | 273 | 274 | 275 | 281 | 282 | 283 | 284 | 285 | 286 | 287 | 291 | 292 | 293 | 294 | 295 | 296 | 297 | 304 | 305 | 306 | 307 | 308 | 309 | 310 | 317 | 318 | 319 | 320 | 321 | 322 | 323 | 327 | 328 | 329 | 330 | 331 | 332 | 333 | 338 | 339 | 340 | 341 | 342 | 343 | 344 | 349 | 350 | 351 |
#イベントログイベントIDタスクのカテゴリイベント内容
1Microsoft-Windows-Sysmon/Operational1Process Create (rule: ProcessCreate)Process Create.
    201 |
  • UtcTime: プロセス実行日時 (UTC)
    • 202 |
  • ProcessGuid/ProcessId: プロセスID
    • 203 |
  • Image: 実行ファイルのパス (検体の実行ファイル名)
    • 204 |
  • CommandLine: 実行コマンドのコマンドライン (オプション内に変更されたタイムスタンプの項目と、変更後の日時が含まれる)
    • 205 |
  • User: 実行ユーザー
    • 206 |
  • LogonGuid/LogonId: ログオンセッションのID
    • 207 |
  • Hashes: 実行ファイルのハッシュ値
    • 208 |
  • ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID
    • 209 |
  • ParentImage: 親プロセスの実行ファイル
    • 210 |
  • ParentCommandLine: 親プロセスのコマンドライン
    • 211 |
セキュリティ4688プロセス作成新しいプロセスが作成されました。
    219 |
  • ログの日時: プロセス実行日時 (ローカル時刻)
    • 220 |
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
    • 221 |
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
    • 222 |
  • プロセス情報 > 新しいプロセスID: プロセスID (16進数)
    • 223 |
  • プロセス情報 > 新しいプロセス名: 実行ファイルのパス (検体の実行ファイル名)
    • 224 |
  • プロセス情報 > 必須ラベル: 権限昇格の要否 (Mandatory Label\High Mandatory Level)
    • 225 |
  • プロセス情報 > トークン昇格の種類: 権限昇格の有無 (1)
    • 226 |
  • プロセス情報 > 作成元プロセスID: 新プロセスを作成した親プロセスのプロセスID。Windows 7では「クリエイター プロセスID」
    • 227 |
  • プロセス情報 > 作成元プロセス名: 新プロセスを作成した親プロセスのパス。Windows 10のみで記録を確認
    • 228 |
2セキュリティ4656ファイル システム / その他のオブジェクト アクセス イベントオブジェクトに対するハンドルが要求されました。
    236 |
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
    • 237 |
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
    • 238 |
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\[検体の実行ファイル名]-[文字列].pf)
    • 239 |
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
    • 240 |
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendData)
    • 241 |
セキュリティ4663ファイル システムオブジェクトへのアクセスが試行されました。
    249 |
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
    • 250 |
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
    • 251 |
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\[検体の実行ファイル名]-[文字列].pf)
    • 252 |
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (先にイベントID: 4656で要求されたハンドルID)
    • 253 |
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
    • 254 |
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendData)
    • 255 |
セキュリティ4658ファイル システムオブジェクトに対するハンドルが閉じました。
    263 |
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
    • 264 |
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
    • 265 |
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
    • 266 |
  • プロセス情報 > プロセスID: プロセスID (16進数)
    • 267 |
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名
    • 268 |
3Microsoft-Windows-Sysmon/Operational2File creation time changed (rule: FileCreateTime)File creation time changed.
    276 |
  • UtcTime: 変更が発生した日時 (UTC)
    • 277 |
  • TargetFilename: 変更されたファイルの名前
    • 278 |
  • CreationUtcTime: 変更後のタイムスタンプ (UTC)
    • 279 |
  • PreviousCreationUtcTime: 変更前のタイムスタンプ (UTC)
    • 280 |
Microsoft-Windows-Sysmon/Operational9RawAccessRead detected (rule: RawAccessRead)RawAccessRead detected.
    288 |
  • Image: 実行ファイルのパス (検体の実行ファイル名)
    • 289 |
  • Device: 対象ファイルが存在するデバイス名
    • 290 |
セキュリティ4656ファイル システム / その他のオブジェクト アクセス イベントオブジェクトに対するハンドルが要求されました。
    298 |
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
    • 299 |
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
    • 300 |
  • オブジェクト > オブジェクト名: 対象のファイル名 (タイムスタンプが変更されたファイル)
    • 301 |
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
    • 302 |
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (SYNCHRONIZE, ReadAttributes, WriteAttributes)
    • 303 |
セキュリティ4663ファイル システムオブジェクトへのアクセスが試行されました。
    311 |
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
    • 312 |
  • オブジェクト > オブジェクト名: 対象のファイル名 (タイムスタンプが変更されたファイル)
    • 313 |
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (先にイベントID: 4656で要求されたハンドルID)
    • 314 |
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteAttributes)
    • 315 |
  • 成功の監査: 成否 (アクセス成功) (成功であれば、タイムスタンプの変更が成功)
    • 316 |
セキュリティ4658ファイル システムオブジェクトに対するハンドルが閉じました。
    324 |
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (検体の実行ファイル名)
    • 325 |
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (先にイベントID: 4656で要求されたハンドルID)
    • 326 |
4セキュリティ4689プロセス終了プロセスが終了しました。
    334 |
  • ログの日時: プロセス終了日時 (ローカル時刻)
    • 335 |
  • プロセス情報 > プロセス名: 実行ファイルのパス (検体の実行ファイル名)
    • 336 |
  • プロセス情報 > 終了状態: プロセスの戻り値
    • 337 |
Microsoft-Windows-Sysmon/Operational5Process terminated (rule: ProcessTerminate)Process terminated.
    345 |
  • UtcTime: プロセス終了日時 (UTC)
    • 346 |
  • ProcessGuid/ProcessId: プロセスID
    • 347 |
  • Image: 実行ファイルのパス (検体の実行ファイル名)
    • 348 |
352 |
353 |

- MFT

354 |
355 | 356 | 357 | 358 | 359 | 360 | 361 | 362 | 363 | 364 | 365 | 366 | 367 | 368 | 369 | 370 | 371 | 372 | 373 | 374 | 375 | 376 | 377 | 378 |
#パスヘッダフラグ有効
1[変更対象のファイル]FILEALLOCATED (タイムスタンプが変更されるが、それ以外の情報は変動しない)
2[ドライブ名]:\Windows\Prefetch\[検体の実行ファイル名]-[文字列].pfFILEALLOCATED
379 |
380 |

- USNジャーナル

381 |
382 | 383 | 384 | 385 | 386 | 387 | 388 | 389 | 390 | 391 | 392 | 393 | 394 | 395 | 396 | 397 | 398 | 399 | 400 | 401 | 402 | 403 | 404 | 405 | 406 | 407 | 408 | 409 | 410 | 411 | 412 | 413 | 414 | 415 | 416 | 417 | 418 | 419 | 420 | 421 | 422 | 423 |
#ファイル名処理属性
1[変更対象のファイル]BASIC_INFO_CHANGEarchive
[変更対象のファイル]BASIC_INFO_CHANGE+CLOSEarchive
2[検体の実行ファイル名]-[文字列].pfFILE_CREATEarchive+not_indexed
[検体の実行ファイル名]-[文字列].pfDATA_EXTEND+FILE_CREATEarchive+not_indexed
[検体の実行ファイル名]-[文字列].pfCLOSE+DATA_EXTEND+FILE_CREATEarchive+not_indexed
424 |
425 |
426 | 427 | 428 | -------------------------------------------------------------------------------- /index.html: -------------------------------------------------------------------------------- 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ツール分析結果シート 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 38 | 39 |
40 |
41 | 238 | 239 |
240 |
241 | 242 | 243 |
244 |
245 |
246 |
247 | 263 | 264 | 265 | 266 | -------------------------------------------------------------------------------- /overview.html: -------------------------------------------------------------------------------- 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | このサイトについて 10 | 11 | 12 | 13 | 14 | 15 |

このサイトについて

16 |

このサイトは、ネットワーク内部に侵入した攻撃者が悪用する可能性が高い49個のツールを実行した際に、どのようなログがWindowsに記録されるのかを調査し、まとめています。調査するログなどの対象は、以下を対象としています。 なお、下記項目の中で最もツールの実行痕跡が残るのはイベントログであることを確認しています。そのため、ここではイベントログの調査を中心にしたものになっています。 17 |

18 | 29 |

また本調査の概要、使用方法などをまとめた報告書を、以下で公開しています。ツール分析結果シートを使用する際は、一度報告書をご確認いただくことをお勧めします。

30 |

インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書 (第2版)

31 |
32 |

各シートの項目について

33 |

各ツールの分析結果は表形式で解説しており、各項目で記載している内容について以下の通りです。

34 | 35 | 36 | 37 | 38 | 39 | 40 | 41 | 42 | 43 | 44 | 45 | 46 | 47 | 48 | 49 | 50 | 51 | 52 | 53 | 54 | 55 | 56 | 57 | 58 | 59 | 60 | 61 | 62 | 63 | 64 | 65 | 66 | 67 | 68 | 69 | 70 | 71 |
項目内容
ツール概要ツールについての説明およびツールの攻撃時における想定利用例について記載
ツール動作概要ツールを使用する際の権限、通信方式、関連するサービスについて記載
ログから得られる情報デフォルト設定(標準設定)および監査ポリシーの設定およびSysmonがインストールされた状態(追加設定)でツール実行時に得られるログの概要を記載
実行成功時に確認できる痕跡ツールの実行が、成功したことを確認する方法を記載
実行時に記録される主要な情報対象のイベントログやレジストリ、USNジャーナル、MFTなどで記録される調査に活用できる重要な情報を記載(すべての記録される情報を記載しているわけではない)
詳細「実行時に記録される主要な情報」には含まれていない記録されるすべてのログについて記載
備考その他に記録される可能性があるログや検証時に確認した事項について記載
72 |
73 |

注意点

74 |

Windowsの標準設定では調査のために十分なイベントログを取得できません。そのため本調査では、次の設定をした場合に記録されるログを調査しています。

75 | 81 |

監査ポリシーの有効化方法やSysmonのインストール方法については、レポートをご覧ください。

82 |
83 | 88 | 89 | 90 | 91 | -------------------------------------------------------------------------------- /tool-list.html: -------------------------------------------------------------------------------- 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 分析ツール一覧 10 | 11 | 12 | 13 | 14 | 15 |

分析ツール一覧

16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 | 32 | 33 | 34 | 35 | 36 | 37 | 38 | 39 | 40 | 41 | 42 | 43 | 44 | 45 | 46 | 47 | 48 | 49 | 50 | 51 | 52 | 53 | 54 | 55 | 56 | 57 | 58 | 59 | 60 | 61 | 62 | 63 | 64 | 65 | 66 | 67 | 68 | 69 | 70 | 71 | 72 | 73 | 74 | 75 | 76 | 77 | 78 | 79 | 80 | 81 | 82 | 83 | 84 | 85 | 86 | 87 | 88 | 89 | 90 | 91 | 92 | 93 | 94 | 95 | 96 | 97 | 98 | 99 | 100 | 101 | 102 | 103 | 104 | 105 | 106 | 107 | 108 | 109 | 110 | 111 | 112 | 113 | 114 | 115 | 116 | 117 | 118 | 119 | 120 | 121 | 122 | 123 | 124 | 125 | 126 | 127 | 128 | 129 | 130 | 131 | 132 | 133 | 134 | 135 | 136 | 137 | 138 | 139 | 140 | 141 | 142 | 143 | 144 | 145 | 146 | 147 | 148 | 149 | 150 | 151 | 152 | 153 | 154 | 155 | 156 | 157 | 158 | 159 | 160 | 161 | 162 | 163 | 164 | 165 | 166 | 167 | 168 | 169 | 170 | 171 | 172 | 173 | 174 | 175 | 176 | 177 | 178 | 179 | 180 | 181 | 182 | 183 | 184 | 185 | 186 | 187 | 188 | 189 | 190 | 191 | 192 | 193 | 194 | 195 | 196 | 197 | 198 | 199 | 200 | 201 | 202 | 203 | 204 | 205 | 206 | 207 | 208 | 209 | 210 | 211 | 212 | 213 | 214 | 215 | 216 | 217 | 218 | 219 | 220 | 221 | 222 | 223 | 224 | 225 | 226 | 227 | 228 | 229 | 230 | 231 | 232 | 233 |
カテゴリツール説明
コマンド実行PsExecリモートホスト上でコマンドを実行する
wmicWindowsのシステム管理に使用する
schtasks指定した時刻にタスクを実行する
wmiexec.vbsWindowsのシステム管理に使用する
BeginXクライアントからサーバに対してコマンドを実行をする
WinRMリモートの端末から情報を収集する
WinRSリモートホスト上でコマンドを実行する
BITSバックグラウンドでファイルを送受信する
パスワード、ハッシュの入手PWDump7ホスト内のパスワードハッシュ一覧を表示する
PWDumpXリモートホストからパスワードハッシュを取得する
Quarks PwDumpドメインアカウントおよびローカルアカウントのパスワードハッシュや、キャッシュされたパスワードを取得する
Mimikatz
(パスワードハッシュ入手 lsadump::sam)		OS内に保存された認証情報を搾取する
Mimikatz
(パスワードハッシュ入手 sekurlsa::logonpasswords)		OS内に保存された認証情報を搾取する
Mimikatz
(チケット入手 sekurlsa::tickets)		ログオンしているセッションのチケットを取得する
WCEホストのメモリ内に存在する、パスワードハッシュを取得する
gsecdumpSAM/ADやログオンセッションから、パスワードハッシュを抽出する
lslsasslsassプロセスから、有効なログオンセッションのパスワードハッシュを取得する
AceHashパスワードハッシュ値を取得し、ホストにログオンする
Find-GPOPasswords.ps1グループポリシーのファイルに記載されているパスワードを取得する
Get-GPPPassword
(PowerSploit)		グループポリシーに記載されている平文のパスワードとその他のアカウント情報を取得する
Invoke-Mimikatz
(PowerSploit)		メモリ上にMimikatzを読み込み、起動させる
Out-Minidump
(PowerSploit)		メモリ上のプロセスをダンプする
PowerMemory
(RWMC Tool)		ファイルやメモリ内に存在する認証情報を取得する
WebBrowserPassViewWebブラウザに保存されているユーザー名・パスワードを抽出する
通信の不正中継Htran通信をトンネリングさせる
Fake wpadwpadサーバとして動作し、クライアントからの通信内容を取得・変更する
リモートログインRDPリモートデスクトップサービスが稼働しているサーバーに接続する
Pass-the-hash
Pass-the-ticket		WCE (リモートログイン)取得したパスワードハッシュを利用し、リモートホストでコマンドを実行する
Mimikatz (リモートログイン)取得したパスワードハッシュを利用し、リモートホストでコマンドを実行する
権限昇格MS14-058 Exploit指定した実行ファイルを、SYSTEM権限で実行する
MS15-078 Exploit指定した実行ファイルを、SYSTEM権限で実行する
SDB UAC Bypassアプリケーション互換データベース (SDB) を用いて、UACにより制御されるアプリケーションを管理者権限で実行する
ドメイン管理者権限
アカウントの奪取		MS14-068 Exploitドメインユーザーの権限を、ドメイン管理者権限に変更する
Golden Ticket
(Mimikatz)		不正にKerberosの認証チケットを作成し、リモートホストに接続する
Silver Ticket
(Mimikatz)		不正にKerberosの認証チケットを作成し、リモートホストに接続する
情報収集ntdsutilActive Directory データベースの保守に使用する
vssadminVolume Shadow Copyを作成し、NTDS.DITやレジストリなどのシステムファイルを抽出する
csvdeActive Directory上のアカウント情報をCSV形式で出力する
ldifdeActive Directory上のアカウント情報をLDIF形式で出力する
dsqueryActive Directoryから、ユーザーやグループなどの情報を取得する
dcdiagドメインコントローラーの状態を分析・調査する
nltest使用しているドメインコントローラーとそのIPアドレスを取得する
nmapネットワーク調査に使用する
ローカルユーザー・グループの追加・削除net userホストまたはドメイン上に、ユーザーアカウントを追加する
ファイル共有net useネットワーク上で公開されている共有ポイントに接続する
痕跡の削除sdeleteファイルを複数回上書きしてから削除する
timestompファイルのタイムスタンプを変更する
klist purge保存されたKerberosチケットを削除する
wevtutilWindowsのイベントログを削除する
234 | 235 | 236 | 237 | --------------------------------------------------------------------------------