インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書

Size: px

Start display at page:

Download "インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書"

みそらみおか
5 years ago
Views:

1 Japan Computer Emergency Response Team Coordination Center 電子署名者 : Japan Computer Emergency Response Team Coordination Center DN : c=jp, st=tokyo, l=chiyodaku, =office@jpcert.or.jp, o=japan Computer Emergency Response Team Coordination Center, cn=japan Computer Emergency Response Team Coordination Center 日付 : :17:27 +09'00' インシデント調査のための攻撃等の実行痕跡調査に関する報告書一般社団法人 JPCERT コーディネーションセンター 2016 年 6 月 28 日

2 インシデント調査のための攻撃等の実行痕跡調査に関する報告書目次 1. はじめに調査方法調査実施内容調査した調査の実施環境調査結果本章の構成コマンド実行 PsExec wmic PowerShell wmiexec.vbs BeginX WinRM WinRS at BITS パスワードハッシュの入手 PWDump PWDumpX Quarks PwDump Mimikatz ( パスワードハッシュ入手 ) Mimikatz ( チケット入手 ) WCE gsecdump lslsass FindGPOPasswords.ps Mail PassView WebBrowserPassView Remote Desktop PassView 通信の不正中継 Htran Fake wpad リモートログインリモートディスクトップ (RDP) Passthehash, Passtheticket WCE ( リモートログイン )

3 インシデント調査のための攻撃等の実行痕跡調査に関する報告書 Mimikatz( リモートログイン ) SYSTEM 権限に昇格 MS14058 Exploit MS15078 Exploit 権限昇格 SDB UAC Bypass ドメイン管理者権限, アカウントの奪取 MS14068 Exploit Mimikatz (Golden Ticket) Mimikatz (Silver Ticket) Active Directory データベースの奪取 ntdsutil vssadmin ローカルユーザーグループの追加削除 net user ファイル共有 net use net share icacls 痕跡の削除 sdelete timestomp の消去 wevtutil アカウント情報の取得 csvde ldifde dsquery の実行成功時に見られる痕跡追加ログ取得について追加ログ取得の重要性追加ログ取得設定の影響インシデント調査における本報告書の活用方法本報告書を使用したインシデント調査おわりに付録 A のインストール方法監査ポリシーの有効化方法付録 B

4 インシデント調査のための攻撃等の実行痕跡調査に関する報告書索引

5 インシデント調査のための攻撃等の実行痕跡調査に関する報告書 1. はじめに近年のサイバー攻撃ではマルウエアに感染したマシンを侵入の起点として他のマシンへの感染拡大や内部サーバへの侵入など組織内の至るところを侵害する事例が多く確認されているこうした事案においては調査対象ポイントが多数になるのでそれらを重大な事象を見落とすことなく迅速に調査してできる限り正確に被害の全体像を掌握し善後策の立案にな事実を収集するための手立てが求められている一方攻撃対象であるネットワークの構成は組織によって様々だが攻撃の手口にはよく見られる共通したパターンが存在するネットワーク内部に侵入した攻撃者はまず侵入した端末の情報を ipconfig や systeminfo などの Windows で標準的に準備されているを使用して収集し次に net 等のを利用してネットワークに接続されている他の端末の情報やドメイン情報アカウント情報などを調査する調査した情報を基に次に侵入する端末を選んだらユーザのパスワード情報を盗み出すためにパスワードダンプ mimikatz や PwDump 等のを使用しパスワード情報を入手するそして net や at 等のを駆使して他の端末に侵入し機密情報を収集するのであるこのような常套的な攻撃手口の中で使用されるも同じものが使用されることが多いこのような攻撃者によって使われることが多い代表的ながどのようなものかさらにそれらが使用されるとどこにどのような痕跡が残るのかを把握していれば多数の調査対象ポイントを体系的かつ迅速に調査できるようになると考えられるこのような利用を想定した上で JPCERT コーディネーションセンター ( 以下 JPCERT/CC という ) では近年確認されている組織内ネットワークでのインシデント調査を通じて多くの攻撃者が使用するを抽出しそれらの実行でサーバやクライアントにどのようなログが残るのかまたどのような設定をすれば十分な情報を含むログを取得できるようになるのかを調査した本報告書はその調査結果をまとめたものである本書の構成は次のとおりであるまず第 2 章では本調査を行った環境や実際に調査したについて説明する続いて第 3 章では本調査の結果について説明する第 4 章には第 3 章で記載した調査結果を基にインシデント調査をする方法について説明する 4

6 インシデント調査のための攻撃等の実行痕跡調査に関する報告書 2. 調査方法本章では本調査の方法について記載する 2.1. 調査実施内容本調査の目的はインシデント調査のためのログ分析において多くの攻撃者が使用するの実行痕跡を読み解くことによって攻撃の実像に迫ろうとする分析者のために参考となる基礎的な情報を整理して提供することにあるすなわちログに記録された情報からどのが実行されたのかを割り出しまた逆にあるが実行された場合にどのような情報がどのログに記録されるのかを提示することにより効果的なログ調査をガイドできるような辞書づくりを目指した本調査では多くの攻撃者によって使用されていると我々が考えたについて調査しているどのようなを多くの攻撃者が使用していると我々が考えたかに関しては次節で述べる調査するログなどの対象はインシデント調査の専門家ではない人でも比較的容易に調べることができる次の項目を対象としたレジストリエントリなお Windows の標準設定では調査のために十分なを取得できない本調査では次の設定をした場合とデフォルト設定のままの場合について記録されるログを調査した監査ポリシーの有効化のインストール監査ポリシーとは Windows に標準で搭載されているログオンログオフやファイルアクセスなどの詳細なログを取得するための設定である監査ポリシーはローカルグループポリシーから確認設定変更することができるまたはマイクロソフトが提供するでプロセスの起動ネットワーク通信ファイルの変更などをに記録することができるをインストールすると以下のようにイベントビューアーから記録されたログを確認することができるようになる 5

インシデント調査のための攻撃等の実行痕跡調査に関する報告書図 21: イベントビューアーからのログを確認本調査では 2.2 節で記載したを Windows のドメインコントローラおよびクライアントからなる仮想環境ネットワーク上で実際に実行し実行の前後でのシステムの変化を調べる方法によりとレジストリエントリの記録を調査して 3 章にまとめた調査に利用したネットワーク環境の詳細は 2.

7 インシデント調査のための攻撃等の実行痕跡調査に関する報告書図 21: イベントビューアーからのログを確認本調査では 2.2 節で記載したを Windows のドメインコントローラおよびクライアントからなる仮想環境ネットワーク上で実際に実行し実行の前後でのシステムの変化を調べる方法によりとレジストリエントリの記録を調査して 3 章にまとめた調査に利用したネットワーク環境の詳細は 2.3 節で述べる 2.2. 調査した JPCERT/CC が対応したインシデント調査で複数の事案で攻撃者による使用が確認されたものの中からコマンド実行やパスワードハッシュの入手リモートログインなどの攻撃動作に直接つながるものを中心に 44 種類をインシデント調査において鍵となる多くの攻撃者が使用するとして選定したそれらをの攻撃者による使用目的ごとに分類して表 21 に示す表 21: 調査した一覧攻撃者がを使用する目的章番号 PsExec wmic コマンド実行 PowerShell wmiexec.vbs BeginX winrm

8 インシデント調査のための攻撃等の実行痕跡調査に関する報告書攻撃者がを使用する目的章番号 at winrs BITS PWDump PWDumpX Quarks PwDump Mimikatz( パスワードハッシュ入手 ) Mimikatz( チケット入手 ) パスワードハッシュの入手 WCE gsecdump lslsass FindGPOPasswords.ps Mail PassView WebBrowserPassView Remote Desktop PassView 通信の不正中継 Htran ( パケットトンネリング ) Fake wpad リモートログイン RDP Passthehash WCE ( リモートログイン ) Passtheticket Mimikatz ( リモートログイン ) SYSTEM 権限に昇格 MS14058 Exploit MS15078 Exploit 権限昇格 SDB UAC Bypass MS14068 Exploit ドメイン管理者権限 Golden Ticket (Mimikatz) アカウントの奪取 Silver Ticket (Mimikatz) Active Directory データベースの奪取 ntdsutil ( ドメイン管理者ユーザの作成もしくは管理者グループに追加 ) vssadmin ローカルユーザーグループの追加削除 net user net use ファイル共有 net share icacls 痕跡の削除 sdelete timestomp の削除 wevtutil

9 インシデント調査のための攻撃等の実行痕跡調査に関する報告書攻撃者がを使用する目的章番号 csvde アカウント情報の取得 ldifde dsquery 調査の実施環境本調査では攻撃の対象となるシステムを単純化した一対のクライアントとサーバからなるシステムを仮想環境ネットワーク上に構築しこの上でを実行して実行に伴うファイルやレジストリ等の変化を観測したクライアントとサーバにはそれぞれの次のバージョンの Windows OS を搭載した合計 4 通りのシステム構成について調査したまたサーバ上には Active Directory を稼働させてクライアントを管理する構成をとったクライアントの搭載 OS Windows 7 Professional Service Pack 1 Windows 8.1 Pro サーバの搭載 OS Windows Server 2008 R2 Service Pack 1 Windows Server 2012 R2 8

10 : 9

11 インシデント調査のための攻撃等の実行痕跡調査に関する報告書各項目で記載している内容について以下で説明する 1 についての解説を使用された場合の影響やを使用する際の権限通信方式関連するサービスについて記載 2 検証環境接続元および接続先の OS 情報 3 ログ保存場所レジストリの保存場所 4 実行成功時に確認できる痕跡の実行が成功したことを確認する方法を記載 5 レジストリファイルに記載される情報この項目の記載内容に一致しているものがある場合は当該の実行によって記録された可能性があるため調査するがある 6 ログの中で確認できる重要な情報対象のログで記録される調査に活用できる重要な情報を記載 ( すべての記録される情報を記載しているわけではない ) 7 当該ログの取得にがかどうか標準設定で取得可能な場合がな場合 8 記載のもの以外で出力される可能性のあるその他に記録される可能性があるログがある際のみ記載 10

12 コマンド実行 > PsExec PsExec 動作条件ログから得られる情報名称カテゴリ概要攻撃時における想定利用例権限対象 OS ドメインへの参加通信プロトコルサービス標準設定実行成功時に確認できる痕跡 PsExec コマンド実行リモートシステム上でプロセスを実行するドメイン内の端末やサーバーに対してリモートでコマンドを実行する接続元: PsExecコマンド実行元接続先: PsExecコマンドによってログインされた先接続元: 標準ユーザー接続先: 管理者ユーザー Windows 不要 135/tcp 445/tcp ランダムなHigh Port ドメイン環境下で実行する場合はドメインコントローラとのKerberos 認証通信が発生する接続元: PsExecの使用許諾契約に同意した旨のレジストリが記録される接続先: "PSEXESVC" サービスがインストールされ開始終了したことが記録される ( 監査ポリシー) 接続元: PsExecプロセスを実行したこと接続先にネットワーク接続したことリモート実行されたコマンド名及び引数が記録される接続先: PSEXESVCのバイナリが作成アクセスされたこと接続元からネットワーク接続されたことリモート実行されたコマンド名及び引数が記録される以下が確認できた場合 PsExecが実行された可能性がある接続元: に以下のログがある場合にpsexec.exeのイベントID が記録され実行結果 ( 戻り値 ) が "0x0" となっている接続先: PSEXESVC.exeがインストールされているイベント ID : 4688 ( 新しいプロセスが作成されました ) プロセス情報 > プロセス名 : "[ 実行ファイル (psexec.exe)]" プロセスの開始終了日時 : プロセスを実行したユーザー名 : サブジェクト > アカウント名プロセスを実行したユーザーのドメイン : サブジェクト > アカウントドメインプロセス実行時の権限昇格の有無 : プロセス情報 > トークン昇格の種類プロセスの戻り値 : プロセス情報 > 終了状態接続元イベントID : 1 (Process Create) Image : "[ 実行ファイル (psexec.exe)]" プロセスの開始終了日時(UTC) : UtcTime プロセスのコマンドライン : CommandLine コマンドライン内の引数にリモート実行されたコマンドが記録される実行ユーザ名 : User プロセスID : ProcessId レジストリレジストリエントリ : HKEY_USERS\[SID]\Software\Sysinternals\PsExec EulaAccepted 過去にPsExecを実行したことが無い場合使用許諾契約に同意した旨のレジストリが出力される ( 過去に実行している場合レジストリの内容は変化しない ) イベント ID : 7045 ( サービスがシステムにインストールされました ) システムプロセス名: "PSEXESVC" パス: "%SystemRoot%\PSEXESVC.exe" イベント ID : 7036 ( サービスの状態が移行しました ) サービス "PSEXESVC" がリモートプロセス実行前に " 実行中 " となり実行後に " 停止 " となるユーザー管理者ユーザーイベントID : 5156 ( フィルタリングプラットフォームによる接続の許可 ) 接続元から接続先に対して宛先ポートを135 及び445とした通信が発生する ( 例 : :49210から : 445 への通信がWindows フィルタリングプラットフォームにより接続が許可されました ) 接続元から接続先に対してランダムなHigh Port(1024 以上のポート ) を宛先ポートとした通信が発生するイベント ID : 5140 ( ネットワーク共有オブジェクトにアクセスしました ) 接続された日時: PSEXESVC.exeの開始より前の日時となる接続に使用されたアカウント: サブジェクト > ID 及びアカウント名接続元端末: ネットワーク情報 > 接続元 IPアドレス及び接続元ポート接続された共有: "\??\C:\Windows" ( 管理共有 ) 接続先イベント ID : 4672 ( 新しいログオンに特権を割り当てました ) 接続に使用されたアカウント : サブジェクト > ID 及びアカウント名割り当てられた特権 : 特権このイベントが発生する前にイベント 4624 が発生するイベント 4624 でログオンしたアカウントに対して特権が割り当てられるイベントID : 4656 ( オブジェクトに対するハンドルが要求されました ) 4663 ( オブジェクトへのアクセスが試行されました ) オブジェクト > オブジェクト名 :"C:\Windows\PSEXESVC.exe" イベントID : 5140 ( ネットワーク共有オブジェクトにアクセスしました ) 接続に使用されたアカウント: サブジェクト > ID 及びアカウント名接続元端末: ネットワーク情報 > 接続元 IPアドレス及び接続元ポート接続された共有: "\\*\IPC$" ( 管理共有 ) イベント ID : 5145 ( ネットワーク共有オブジェクトに対するクライアントのアクセス権をチェックしました ) 同イベント ID は数度記録される接続に使用されたアカウント: サブジェクト > ID 及びアカウント名接続元端末: ネットワーク情報 > 接続元 IPアドレス及び接続元ポート対象となる共有: 共有情報 > 対象パス対象パスに含まれるものには "PSEXESVC" 及び "\\??\C:\Windows" があるイベントID : 4656 ( オブジェクトに対するハンドルが要求されました ) 4660 ( オブジェクトが削除されました ) 4658 ( オブジェクトに対するハンドルが閉じました ) プロセス情報 > プロセスID : "0x4" (SYSTEM) 対象ファイル: オブジェクト > オブジェクト名 (" C :\Windows\PSEXESVC.exe" ) ハンドルID: オブジェクト > ハンドル ID 他ログとの紐付けに使用する処理内容: アクセス要求情報 > アクセス ("DELETE" "ReadAttributes" ) 成否: キーワード (" 成功の監査 " ) 11

13 コマンド実行 > PsExec イベントID : 1 (Process Create) Image :"C:\Windows\PSEXESVC.exe" User :"SYSTEM" ユーザー管理者ユーザー ( 続 ) 接続先 ( 続 ) PSEXESVC.exeが実行された日時: イベント ID : 1 (Process Create) リモート実行されたプロセス: Image 引数: CommandLine プロセスの開始終了日時(UTC): UtcTime PSEXESVC.exeの開始より後終了より前の日時となるリモート実行に使用されたアカウント: 実行ユーザー記載のもの以外で出力される可能性のある PsExec を用いて実行されたプロセスに関連する情報が接続先に記録される可能性がある 12

14 コマンド実行 > wmic WMIC (Windows Management Instrumentation Command Line) 動作条件ログから得られる情報名称カテゴリ概要攻撃時における想定利用例権限対象 OS ドメインへの参加通信プロトコルサービス標準設定実行成功時に確認できる痕跡 WMIC (Windows Management Instrumentation Command Line) コマンド実行 Windowsのシステム管理に使用する WMIを用いてリモートシステムの情報を取得することやコマンドを実行することが考えられる接続元: wmicコマンド実行元接続先 : wmic コマンドによってアクセスされた端末標準ユーザーリモート側で実行するコマンドによっては管理者権限がな場合もある Windows 不要 135/tcp, 445/tcp, 1024 以上のランダムに選択されるTCPポート Windows Management Instrumentation Remote Procedure Call (RPC) () プロセスの実行内容(wmicへの引数) 及び実行成否( 戻り値 )( 監査ポリシー) 接続元接続先において同時刻に以下のログが確認できる場合リモート接続が行われた可能性がある接続元: に以下のログがある場合にWMIC.exeのイベントID が記録され実行結果 ( 戻り値 ) が "0x0" となっている接続先: に以下のログがある場合でイベントID 1 5でWmiPrvSE.exeが実行されたことが記録されているイベント ID : 4688 ( 新しいプロセスが作成されました ) プロセス情報 > プロセス名 : "C:\Windows\System32\wbem\WMIC.exe" プロセスの開始終了日時 : プロセスを実行したユーザー名 : サブジェクト > アカウント名プロセスを実行したユーザーのドメイン : サブジェクト > アカウントドメインプロセス実行時の権限昇格の有無 : プロセス情報 > トークン昇格の種類プロセスの戻り値 : プロセス情報 > 終了状態ユーザー管理者ユーザー接続元イベント ID : 1 (Process Create) Image : "C:\Windows\System32\wbem\WMIC.exe" プロセスの開始終了日時(UTC) : UtcTime プロセスのコマンドライン : CommandLine wmic.exeの引数よりリモートホストと実行コマンドが確認可能実行ユーザ名 : User プロセスID : ProcessId ファイル名 : C:\Windows\\WMIC.EXE98223A30.pf ( を利用して下記を確認できる :WinView) 最終実行日時 : Last Run Time 接続先イベントID : 1 (Process Create) Image : "C:\Windows\System32\wbem\WmiPrvSE.exe" プロセスの開始終了日時(UTC) : UtcTime プロセスのコマンドライン : CommandLine ("C:\Windows\System32\wmiprvse.exe secured Embedding") 実行ユーザ名 : User ("NT AUTHORITY\NETWORK SERVICE") プロセスID : ProcessId ファイル名 : C:\Windows\\WMIPRVSE.EXE C.pf ( を利用して下記を確認できる :WinView) 最終実行日時 : Last Run Time 記載のもの以外で出力される可能性のある wmicで呼び出された処理によっては処理特有のログが記録される可能性があるユーザがActive Directory 上に存在する場合認証要求がドメインコントローラに記録される可能性があるしかし wmicにより発生した認証要求であるかそれ以外のものであるかを断定することは出来ない 13

15 コマンド実行 > PowerShell PowerShell ( リモートコマンド実行 ) 動作条件ログから得られる情報名称カテゴリ概要攻撃時における想定利用例実行例 ( 検証時に使用したコマンド ) 権限対象 OS ドメインへの参加通信プロトコルサービス標準設定実行成功時に確認できる痕跡 PowerShell ( リモートコマンド実行 ) コマンド実行 Windowsの管理や設定に利用可能なコマンドライン (Windows 7 以降では標準で利用が可能 ) PowerShellを実行したホストのみでなくネットワークを介して他のホストに対してコマンドを実行することも可能ネットワーク内のドメインコントローラや他ホストに対して管理者権限がな動作を可能とするよう設定を変更する接続元: PowerShellコマンド実行元接続先: PowerShellコマンドによってログインされた先以下のコマンドを実行接続先で Windows Remote Management (WSManagement) サービスを起動しておくがある > EnablePSRemoting force > SetItem WSMan:\localhost\Client\TrustedHosts Value * > EnterPSSession "[ 接続先 ]" Credential Administrator PowerShellは一般ユーザーでも利用可能設定を変更するスクリプトを実行する場合設定変更対象となるホストにおいて適切な権限が Windows 不要ローカル端末内を管理する場合は不要他端末を管理する場合 HTTPでは80/tcp 又は5985/tcp HTTPSでは443/tcp 又は5986/tcpを使用する接続先 : Windows Remote Management (WSManagement) () ( 監査ポリシー) PowerShellの終了イベントより実行結果を確認可能監査ポリシーにより接続元から接続先の5985/tcp(HTTP) 又は5986/tcp(HTTPS) への通信が発生していることを確認可能以下のログが同じ時刻に確認できた場合リモートコマンド実行が行われた可能性があるの場合も同様接続元: に以下のログがある場合にPowerShellのイベントID が記録され実行結果 ( 戻り値 ) が "0x0" となっている接続先: に以下のログがある場合にwsmprovhost.exeのイベントID が記録され実行結果 ( 戻り値 ) が "0x0" となっているイベント ID : 4688 ( 新しいプロセスが作成されました ) プロセス情報 > プロセス名 : "C:\Windows\System32\Windows PowerShell\v1.0\powershell.exe" プロセスの開始終了日時 : プロセスを実行したユーザー名 : サブジェクト > アカウント名プロセスを実行したユーザーのドメイン : サブジェクト > アカウントドメインプロセス実行時の権限昇格の有無 : プロセス情報 > トークン昇格の種類プロセスの戻り値 : プロセス情報 > 終了状態イベントID : 5156 ( フィルタリングプラットフォームによる接続の許可 ) プロセス名 : "\device\harddiskvolume 2 \windows\system32\windowspowershell\v1.0\powershell.exe" ネットワーク情報 > 方向 : " 送信 " ネットワーク情報 > 宛先アドレス : "::1" ネットワーク情報 > 宛先ポートプロトコル : "47001" "6"(TCP) 接続元イベントID : 5156 ( フィルタリングプラットフォームによる接続の許可 ) プロセス名 : "\device\harddiskvolume 2 \windows\system32\windowspowershell\v1.0\powershell.exe" ネットワーク情報 > 方向 : " 送信 " ネットワーク情報 > 宛先アドレス : "[ 接続先ホスト ]" ネットワーク情報 > 宛先ポートプロトコル : "5985"(HTTP) 又は "5986"(HTTPS) "6"(TCP) ポート番号は接続先側で指定することで変更が可能イベントID : 1 (Process Create) Image : "C:\Windows\System32\Windows PowerShell\v1.0\powershell.exe" プロセスの開始終了日時(UTC) : プロセスのコマンドライン : 実行ユーザ名 : プロセスID : UtcTime CommandLine : "C:\Windows\System32\Windows PowerShell\v1.0\powershell.exe" User ProcessId ユーザー管理者ユーザーファイル名 : C:\Windows\\POWERSHELL.EXE920BBA2A.pf ( を利用して下記を確認できる :WinView) 最終実行日時 : Last Run Time イベントID : 5156 ( フィルタリングプラットフォームによる接続の許可 ) プロセスID : "4" アプリケーション名 : "System" ネットワーク情報 > 方向 : " 着信 " 接続元ホスト: ネットワーク情報 > 送信元アドレス着信ポート: ネットワーク情報 > ソースポート (HTTPの場合"5985" HTTPSの場合 "5986" ) プロトコル: ネットワーク情報 > プロトコル ("6" ) イベントID : 4624 ( アカウントが正常にログオンしました ) ログオンタイプ : "3" ログオンが成功した日時: 接続元における wsmprovhost.exeプロセス作成 ( イベントID 4688) 直後終了 ( イベントID 4689) より前となる接続先端末においてプロセスを実行したアカウント名: 新しいログオン > ID アカウント名接続先イベント ID : 4634 ( アカウントが正常にログオフしました ) ログオフした日時: 接続元における wsmprovhost.exe プロセス終了 ( イベント ID 4689) 後となるイベントID : 1 (Process Create) Image : "C:\Windows\System32\at.exe" プロセスの開始終了日時(UTC) : プロセスのコマンドライン : 実行ユーザ名 : プロセスID : UtcTime CommandLine : "C:\Windows\System32\wsmprovhost.exe Embedding" User ProcessId ファイル名 : C:\Windows\\WSMPROVHOST.EXEEF06207C.pf ( を利用して下記を確認できる :WinView) 最終実行日時 : Last Run Time 記載のもの以外で出力される可能性のある実行されたコマンドによってはそのコマンドが出力するログが接続先に記録される可能性がある 14

16 コマンド実行 > wmiexec.vbs wmiexec.vbs 動作条件ログから得られる情報名称カテゴリ概要攻撃時における想定利用例権限対象 OS ドメインへの参加通信プロトコルサービス標準設定実行成功時に確認できる痕跡 wmiexec.vbs コマンド実行 Windowsのシステム管理に使用する他端末に対してスクリプト処理を実行する接続元: wmiexec.vbs 実行元接続先: wmiexec.vbsによってアクセスされた端末標準ユーザー Windows 不要 135/tcp, 445/tcp () ファイルの作成削除履歴( 監査ポリシー ) () 接続先 : "WMI_SHARE" 共有が作成され削除されているイベント ID : 4688 ( 新しいプロセスが作成されました ) プロセス情報 > プロセス名 : "C:\Windows\System32\cscript.exe" プロセスの開始終了日時 : プロセスを実行したユーザー名 : サブジェクト > アカウント名プロセスを実行したユーザーのドメイン : サブジェクト > アカウントドメインプロセス実行時の権限昇格の有無 : プロセス情報 > トークン昇格の種類プロセスの戻り値 : プロセス情報 > 終了状態接続元イベントID : 5156 (Windows フィルターリングプラットフォームで接続が許可されました ) プロセス名 : "\device\harddiskvolume 2 \windows\system32\cscript.exe" 送信元ポート : ネットワーク情報 > 宛先ポートポート番号は接続先側で指定することで変更が可能イベント ID : 1 (Process Create) Image : "C:\Windows\System32\cscript.exe" プロセスの開始終了日時(UTC): UtcTime プロセスのコマンドライン: CommandLine 実行ユーザー名: User プロセスID: ProcessId ファイル名 : C:\Windows\\CSCRIPT.EXED1EF4768.pf ( を利用して下記を確認できる :WinView) 最終実行日時 : Last Run Time ユーザーユーザーイベントID : 4656 ( オブジェクトへのハンドルが要求されました ) 4663 ( オブジェクトへのアクセスが試行されました ) 4658 ( オブジェクトに対するハンドルが閉じました ) オブジェクト > オブジェクト名 : "(C:\Windows\Temp\wmi.dll)" アクセス要求情報 > アクセスアクセス理由 : ("WriteData ( または AddFile)" "AppendData ( または AddSubdirectory または CreatePipeInstance)" ) プロセス名: "C:\Windows\System32\cmd.exe" ハンドルID: オブジェクト > ハンドルID 他のログとの紐付けに使用するイベントID : 5142 ( ネットワーク共有オブジェクトが追加されました ) プロセスの開始日時: プロセスを実行したユーザー名: サブジェクト > アカウント名プロセスを実行したユーザのドメイン: サブジェクト > アカウントドメイン共有名: 共有情報 > 共有名 : ("\\*\WMI_SHARE") 共有パス: 共有情報 > 共有パス : ("C:\Windows\Temp") 接続先イベント ID : 5145 ( クライアントになアクセスを付与できるかどうかについてネットワーク共有オブジェクトがチェックされました ) プロセスの開始日時: プロセスを実行したユーザー名: サブジェクト > アカウント名プロセスを実行したユーザのドメイン: サブジェクト > アカウントドメイン共有名: 共有情報 > 共有名 ("\\*\WMI_SHARE" ) 共有パス: 共有情報 > 共有パス ("\??\ C :\windows\temp" ) 共有パス: 共有情報 > 相対ターゲット名 : ("wmi.dll") イベントID : 4656 ( オブジェクトに対するハンドルが要求されました ) 4660 ( オブジェクトが削除されました ) 4658 ( オブジェクトに対するハンドルが閉じました ) オブジェクト > オブジェクト名 : "(C:\Windows\Temp\wmi.dll)" アクセス要求情報 > アクセスアクセス理由 : "DELETE" プロセス名: "(C:\Windows\System32\cmd.exe)" イベント ID : 5144 ( ネットワーク共有オブジェクトが削除されました ) 共有名: 共有情報 > 共有名 ("\\*\WMI_SHARE") 共有パス: 共有情報 > 共有パス : ("C:\Windows\Temp") イベントID : 1 (Process Create) Image : "C:\Windows\System32\wbem\WmiPrvSE.exe" "C:\Windows\System32\cmd.exe" プロセスの開始終了日時(UTC): UtcTime プロセスのコマンドライン: CommandLine 実行ユーザー名: User プロセスID: ProcessId 15

17 コマンド実行 > wmiexec.vbs ユーザーユーザー ( 続 ) 接続先 ( 続 ) ファイル名 : C:\Windows\\CSCRIPT.EXED1EF4768.pf C:\Windows\\WMIPRVSE.EXE C.pf ( を利用して下記を確認できる :WinView) 最終実行日時 : Last Run Time 記載のもの以外で出力される可能性のある 16

18 コマンド実行 > beginx BeginX 動作条件ログから得られる情報名称カテゴリ概要攻撃時における想定利用例参考情報権限対象 OS ドメインへの参加通信プロトコルサービス標準設定実行成功時に確認できる痕跡 BeginX コマンド実行クライアントからサーバに対してリモートコマンド実行をするリモートホストの設定を変更したり情報を取得したりする接続元: BeginXクライアント実行元接続先: BeginXサーバ実行元一般ユーザー Windows 不要 tcpまたはudpでポート番号は検体毎に異なる両ホスト: () 接続先: Windowsファイアウォールの設定変更が実施される両ホスト: ( 監査ポリシー) 所定のポートを経由して通信したことが記録されている接続元: 接続先で意図せず許可されているポートと通信をしたことが記録されている接続先: 意図しない通信がWindows Firewallで許可されており該当のポートでリッスンしている検体が存在するイベントID : 4688 ( 新しいプロセスが作成されました ) プロセス情報 > プロセス名 : "[ 検体 ]" プロセスの開始終了日時: プロセスを実行したユーザー名: サブジェクト > アカウント名プロセスを実行したユーザーのドメイン: サブジェクト > アカウントドメインプロセス実行時の権限昇格の有無: プロセス情報 > トークン昇格の種類プロセスの戻り値: プロセス情報 > 終了状態イベント ID : 5156 (Windows フィルターリングプラットフォームで接続が許可されました ) アプリケーション名 : "[ 検体 ]" 接続元通信の方向: ネットワーク情報 > 方向 (" 送信 " ) ソースポート: ネットワーク情報 > ソースポート宛先ホスト: ネットワーク情報 > 宛先アドレス ( 検体名を実行時に指定したホスト ) 宛先ポート: ネットワーク情報 > 宛先ポートプロトコルイベントID : 1 (Process Create) Image : "[ 検体 ]" プロセスの開始終了日時(UTC): UtcTime プロセスのコマンドライン: CommandLine イベントID 1に記録される実行ユーザー名: User プロセスID: ProcessId ファイル名 : C:\Windows\\[ 検体 ][ 文字列 ].pf ( を利用して下記を確認できる :WinView) 最終実行日時: Last Run Time 検体が実行された直後に以下が記録されるユーザーユーザーイベント ID : 5154 (Windows フィルターリングプラットフォームでアプリケーションまたはサービスによるポートでの着信接続のリッスンが許可されました ) アプリケーション名 : "[ 検体 ]" ソースポート: ネットワーク情報 > ソースポート利用プロトコル: ネットワーク情報 > プロトコルイベントID : 5447 (Windows フィルターリングプラットフォームのフィルターが変更されました ) ファイアウォールへの設定変更反映 4946 (Windows ファイアウォールの例外の一覧が変更されました ) ファイアウォールへの設定変更反映接続元がコマンドを実行する際に以下が記録されるイベントID : 5156 (Windowsフィルターリングプラットフォームで接続が許可されました ) アプリケーション名 : "[ 検体 ]" 接続先通信の方向: ネットワーク情報 > 方向 (" 着信 " ) ソースポート: ネットワーク情報 > ソースポート宛先ホスト: ネットワーク情報 > 宛先アドレス ( リモート接続元のホスト ) 宛先ポート: ネットワーク情報 > 宛先ポートプロトコルイベントID : 1 (Process Create) Image : "[ 検体 ]","netsh.exe","rundll32.exe" プロセスの開始終了日時(UTC): UtcTime プロセスのコマンドライン: CommandLine 各 Image ごとに実行した内容が記載されている実行ユーザー名: User プロセスID: ProcessId ファイル名 : C:\Windows\\CMD.EXE4A81B364.pf C:\Windows\\[ 検体 ][ 文字列 ].pf ( を利用して下記を確認できる :WinView) 最終実行日時 : Last Run Time レジストリレジストリエントリ : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules 検体実行時にWindowsファイアウォールの設定が変更されるためレジストリの値が変更されるルール内に検体の実行ファイル名が含まれる記載のもの以外で出力される可能性のある 17

19 コマンド実行 > winrm によるリモート実行 WinRM 名称カテゴリ概要 WinRM コマンド実行リモートの端末から情報を搾取するリモートコマンドを実行する前に調査のため実施する接続元: WinRMマンド実行元攻撃時における想定利用例接続先: WinRMコマンドによってアクセスされた端末動作条件権限対象 OS ドメインへの参加通信プロトコルサービス管理ユーザー Windows 5985/tcp (HTTP) 又は 5986/tcp (HTTPS) 接続先 : Windows Remote Management (WSManagement) 標準設定 () ログから接続元: ( 監査ポリシー) 得られる情報接続先: 接続元からの着信接続実行成功時に確認できる痕跡接続元: 以下のログがある場合 WinRMが実行された可能性があるのイベントID:1 5でcscript.exeが接続先にアクセスしたログが記録されているイベント ID : 4688 ( 新しいプロセスが作成されました ) プロセス情報 > プロセス名 : "C:\Windows\System32\cscript.exe" プロセスの開始終了日時 : プロセスを実行したユーザー名 : サブジェクト > アカウント名プロセスを実行したユーザーのドメイン : サブジェクト > アカウントドメインプロセス実行時の権限昇格の有無 : プロセス情報 > トークン昇格の種類プロセスの戻り値 : プロセス情報 > 終了状態イベント ID : 5156 (Windows フィルターリングプラットフォームで接続が許可されました ) アプリケーション名 : "\device\harddiskvolume 2 \windows\system32\cscript.exe" 通信の方向: 方向 (" 送信 " ) 送信先ホスト: ネットワーク情報 > 宛先アドレス送信先ポート: 宛先ポート ("5958"(HTTP) 又は "5986"(HTTPS) ) プロトコル ("6" = TCP) 接続元イベント ID : 1 (Process Create) Image : "C:\Windows\System32\cscript.exe" プロセスの開始終了日時(UTC) : UtcTime 指定時刻実行プロセス対象ホスト : CommandLine 実行ユーザ名 : User プロセスID : ProcessId イベント ID : 166 ( 選択された認証機構 ) 認証方式: 認証機構 ( 選択された認証機構は Kerberos です ) アプリケーションとサービスイベント ID : 80 ( 操作 Get の要求を送信しています ) 送信先コンピューターおよびポート: "[ ホスト名 ]:[ ポート ]" 管理者ユーザー管理者ユーザー Microsoft\Windows \Windows Remote Management イベント ID : 143 ( ネットワークレイヤーから応答を受信しました ) ステータス: 状態 (200 (HTTP_STATUS_OK)) イベント ID : 132 (WSMan の操作 Get が正常に完了しました ) 完了日時(UTC): UtcTime ファイル名 : C:\Windows\\CSCRIPT.EXED1EF4768.pf ( を利用して下記を確認できる :WinView) 最終実行日時 : Last Run Time イベントID : 5156 (Windows フィルターリングプラットフォームで接続が許可されました ) アプリケーション情報 > アプリケーション名 : "SYSTEM" ネットワーク情報 > 方向 : " 着信 " ネットワーク情報 > ソースポート : "5985" (HTTP) 又は "5986" (HTTPS) ネットワーク情報 > プロトコル : "6" (TCP) 接続元ホスト: ネットワーク情報 > 宛先アドレス接続元ポート: ネットワーク情報 > 宛先ポートイベントID : 4624 ( アカウントが正常にログオンしました ) ログオンタイプ : "3" 接続先使用されたID: 新しいログオン > ID ログオンID: サブジェクト > ログオンID アカウント: アカウント名アカウントドメインイベントID : 4656 ( オブジェクトに対するハンドルが要求されました ) 4658 ( オブジェクトに対するハンドルが閉じました ) プロセス情報 > プロセス名 : "C:\Windows\System32\svchost.exe" オブジェクト > オブジェクト名 :"\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Client" オブジェクト > オブジェクト名 :"\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Service" ハンドルID: オブジェクト > ハンドルID アクセス要求内容: アクセス要求情報 > アクセス ("READ_CONTROL" " キー値の照会 " " サブキーの列挙 " " キー変更に関する通知 ") 複数回この処理を実施する 18

20 コマンド実行 > winrm によるリモート実行管理者ユーザー管理者ユーザー Active Directory ドメインコントローラーイベント ID : 5156 (Windows フィルターリングプラットフォームで接続が許可されました ) アプリケーション情報 > アプリケーション名 : "\device\harddiskvolume 2 \windows\system32\lsass.exe" ネットワーク情報 > 方向 : " 着信 " ネットワーク情報 > ソースポート : "88" 接続元ホスト: ネットワーク情報 > 宛先アドレス ( 続 ) イベント ID : 4769 (Kerberos サービスチケットが要求されました ) ネットワーク情報 > クライアントアドレス : "[ 接続元ホスト ]" 利用されたユーザー: アカウント情報 > アカウント名記載のもの以外で出力される可能性のある 19

21 コマンド実行 > WinRS WinRS 動作条件ログから得られる情報名称カテゴリ概要攻撃時における想定利用例権限対象 OS ドメインへの参加通信プロトコルサービス標準設定実行成功時に確認できる痕跡 WinRS コマンド実行リモートホスト上でコマンドを実行する BITSなどによりを送り込み winrsを用いてをリモートから実行する接続元: WinRSコマンド実行元接続先 : WinRS コマンドによってアクセスされた端末接続元: 標準ユーザー接続先: 管理者ユーザー Windows 不要 5985/tcp (HTTP) 又は 5986/tcp (HTTPS) 接続先 : Windows Remote Management (WSManagement) WinRMの実行ログ () ( 監査ポリシー) Windowsフィルターリングプラットフォームを経由した通信の記録アプリケーションとサービス\Microsoft\Windows\Windows Remote Management\Operational に WinRSの実行が記録されているイベントID : 4688 ( 新しいプロセスが作成されました ) プロセス情報 > プロセス名 : "C:\Windows\System32\winrs.exe" プロセスの開始終了日時 : プロセスを実行したユーザー名 : サブジェクト > アカウント名プロセスを実行したユーザーのドメイン : サブジェクト > アカウントドメインプロセス実行時の権限昇格の有無 : プロセス情報 > トークン昇格の種類プロセスの戻り値 : プロセス情報 > 終了状態イベント ID : 4648 ( 明示的な資格情報を使用してログオンが試行されました ) プロセス情報 > プロセス名 : "C:\Windows\System32\winrs.exe" 使用されたアカウント: 資格情報が使用されたアカウント > アカウント名アカウントドメイン接続先ホスト: ターゲットサーバー > ターゲットサーバー名使用されたプロトコル: ターゲットサーバー > 追加情報 ("[ プロトコル ]/[ ターゲットサーバー名 ]" ) 接続元イベントID : 5156 (Windows フィルターリングプラットフォームで接続が許可されました ) アプリケーション情報 > アプリケーション名 : "\device\harddiskvolume 2 \windoows\system32\winrs.exe" ネットワーク情報 > 方向 : " 送信 " ネットワーク情報 > 宛先ポート : "5985" (HTTP) 又は "5986" (HTTPS) ネットワーク情報 > プロトコル : "6" (TCP) 接続先ホスト: ネットワーク情報 > 宛先アドレスイベント ID : 1 (Process Create) Image : "C:\Windows\System32\winrs.exe" プロセスの開始終了日時(UTC) : プロセスのコマンドライン : 実行ユーザ名 : プロセスID : UtcTime CommandLine 接続先ホスト使用されたアカウント実行されたコマンドなどが記録される User ProcessId 標準ユーザー管理者ユーザーアプリケーションとサービス \Microsoft\Windows \Windows Remote Management \Operational WinRS が実行されたことが記録されているイベント ID : 80 ( 要求の処理 ) 接続先ホスト: 詳細タブ > EventData\url 接続先ポート: 詳細タブ > EventData\port ファイル名 : C:\Windows\\WINRS.EXE483CEB0F.pf ( を利用して下記を確認できる :WinView) 最終実行日時 : Last Run Time イベントID : 4688 ( 新しいプロセスが作成されました ) プロセス情報 > プロセス名 : "C:\Windows\System32\winrshost.exe" プロセスの開始終了日時 : プロセスを実行したユーザー名 : サブジェクト > アカウント名プロセスを実行したユーザーのドメイン : サブジェクト > アカウントドメインプロセス実行時の権限昇格の有無 : プロセス情報 > トークン昇格の種類プロセスの戻り値 : プロセス情報 > 終了状態接続先イベント ID : 4688 ( 新しいプロセスが作成されました ) プロセス情報 > プロセス名 : "[ 接続元から指定されたコマンド ]" プロセスの開始終了日時 : プロセスを実行したユーザー名 : サブジェクト > アカウント名プロセスを実行したユーザーのドメイン : サブジェクト > アカウントドメインプロセス実行時の権限昇格の有無 : プロセス情報 > トークン昇格の種類プロセスの戻り値 : プロセス情報 > 終了状態イベントID : 5156 (Windows フィルターリングプラットフォームで接続が許可されました ) アプリケーション情報 > アプリケーション名 : "System" ネットワーク情報 > 方向 : " 着信 " ネットワーク情報 > ソースポート : "5985" (HTTP) 又は "5986" (HTTPS) ネットワーク情報 > プロトコル : "6" (TCP) 接続元ホスト: ネットワーク情報 > 宛先アドレス 20

22 コマンド実行 > WinRS イベントID : 1 (Process Create) Image : "C:\Windows\System32\winrshost.exe" 標準ユーザー管理者ユーザー ( 続 ) 接続先 ( 続 ) プロセスの開始終了日時(UTC) : プロセスのコマンドライン : 実行ユーザ名 : プロセスID : イベント ID : 1 (Process Create) Image : "[ 接続元から指定されたコマンド ]" プロセスの開始終了日時(UTC) : プロセスのコマンドライン : 実行ユーザ名 : プロセスID : UtcTime CommandLine User ProcessId UtcTime CommandLine User ProcessId アプリケーションとサービス \Microsoft\Windows \Windows Remote Management\Operational 接続元のログに対応する WinRS の処理が実行されたことが記録されているイベント ID : 81 ( 要求の処理 ) ファイル名 : C:\Windows\\WINRSHOST.EXEECE7169D.pf ( を利用して下記を確認できる :WinView) 最終実行日時 : Last Run Time 記載のもの以外で出力される可能性のある WinRS 経由で実行されたコマンドによるログが出力される可能性がある 21

23 コマンド実行 > at at コマンド動作条件ログから得られる情報名称カテゴリ概要攻撃時における想定利用例権限対象 OS ドメインへの参加通信プロトコルサービス標準設定実行成功時に確認できる痕跡 at 凡例コマンド実行取得出来る情報指定した時刻にタスクを実行するイベントID 項目名予めアプリケーションやスクリプトをユーザに気付かれないように配置し任意のタイミングで実行するフィールド名接続元: atコマンド実行元 " フィールドの値 " 接続先: atコマンドによってタスクが登録された端末管理者ユーザーリモートホストのタスクを設定する場合ローカル側は標準ユーザーでも可 Windows 7 / Server 2008 Windows 8 以降及びServer 2012 以降では atコマンドは廃止となっている不要 445/tcp Task Scheduler 接続元: () 接続先: タスクスケジューラにおけるタスクの作成 ( 監査ポリシー) 接続元: に以下のログがある場合タスクが登録されたと考えられるにat.exeのイベントID が記録され実行結果 ( 戻り値 ) が "0x0" となっている接続先: に以下のログがある場合タスクが実行されていると考えられる \Microsoft\Windows\TaskScheduler\Operational にイベントID 106( タスクが登録されました ) が記録されている \Microsoft\Windows\TaskScheduler\Operational にイベントID 200( 開始された操作 ) 201( 操作が完了しました ) が記録されイベントID 201における戻り値が成功となっているイベントID : 4688 ( 新しいプロセスが作成されました ) プロセス情報 > プロセス名 : "C:\Windows\System32\at.exe" プロセスの開始終了日時 : プロセスを実行したユーザー名 : サブジェクト > アカウント名プロセスを実行したユーザーのドメイン : サブジェクト > アカウントドメインプロセス実行時の権限昇格の有無 : プロセス情報 > トークン昇格の種類プロセスの戻り値 : プロセス情報 > 終了状態接続元 (Windows 7) イベントID : 1 (Process Create) Image : "C:\Windows\System32\at.exe" プロセスの開始終了日時(UTC) : UtcTime プロセスのコマンドライン : CommandLine 指定時刻実行プロセス対象ホスト : CommandLine リモートホストに対して実行した場合記録される実行ユーザ名 : User プロセスID : ProcessId ファイル名 : C:\Windows\\AT.EXEBB02E639.pf ( を利用して下記を確認できる :WinView) 最終実行日時 : Last Run Time タスク登録が行われた場合以下のログが出力されるイベントID : 4656 ( オブジェクトへのハンドルが要求されました ) 4663 ( オブジェクトへのアクセスが試行されました ) 4658 ( オブジェクトに対するハンドルが閉じました ) オブジェクト > オブジェクト名 : "C:\Windows\Tasks\[ タスク名 ].job" "C:\Windows\System32\Tasks\[ タスク名 ]" 7 ユーザー Server 2008 R2 管理者ユーザーハンドルID( 他ログとの紐付けに使用する ) : オブジェクト > ハンドルID ハンドルを要求したプロセスのプロセスID : プロセス情報 > プロセスID ( イベント4688で作成されたプロセスのIDと一致する ) 処理内容 : アクセス要求情報 > アクセスアクセス理由 ("WriteData ( または AddFile)" "AppendData ( または AddSubdirectoryまたは CreatePipeInstance)") 成否 : キーワード (" 成功の監査 " ) イベントID : 4698 ( スケジュールされたタスクが作成されました ) タスク情報 > タスク名タスクの詳細 : タスク情報内タスクコンテンツ XML 形式にて記述されている実行トリガー : Triggers 優先度などの設定 : Principals 実行内容 : Actions タスクが実行された場合以下のログが出力される接続先 (Windows Server 2008 R2) イベント ID : 4688 ( 新しいプロセスが作成されました ) プロセス情報 > プロセス名 : "C:\Windows\System32\taskeng.exe" プロセスの開始日時 : プロセスを実行したユーザー名 : サブジェクト > アカウント名プロセスを実行したユーザーのドメイン : サブジェクト > アカウントドメインプロセスID : プロセス情報 > 新しいプロセスID 後に実行されるプロセスの親プロセスとなるプロセス実行時の権限昇格の有無 : プロセス情報 > トークン昇格の種類イベントID : 4688 ( 新しいプロセスが作成されました ) プロセス情報 > プロセス名 : タスクで実行されるプロセスプロセスの開始終了日時 : プロセスを実行したユーザー名 : サブジェクト > アカウント名プロセスを実行したユーザーのドメイン : サブジェクト > アカウントドメインプロセスID : プロセス情報 > 新しいプロセスID タスク中で別の子プロセスが実行される場合このプロセスが親プロセスとなるプロセス実行時の権限昇格の有無: プロセス情報 > トークン昇格の種類親プロセスID : プロセス情報 > クリエータープロセスID 親プロセスが先に実行されているtaskeng.exeとなるプロセスの戻り値 : プロセス情報 > 終了状態イベントID : 4656 ( オブジェクトに対するハンドルが要求されました ) 4663 ( オブジェクトへのアクセスが試行されました ) オブジェクト > オブジェクト名 : "C:\Windows\Tasks\[ タスク名 ].job" アクセス要求情報 > アクセスアクセス理由 : "WriteData ( または AddFile)" "AppendData ( または AddSubdirectory または CreatePipeInstance)" ハンドルID : オブジェクト > ハンドルID 他のログとの紐付けに使用する 22

24 コマンド実行 > at タスク登録に関しては有益な情報は出力されないタスクが実行された際には以下のログが登録されるイベントID : 1 (Process Create) ParentImage 名 : "C:\Windows\System32\taskeng.exe" プロセスの開始終了日時(UTC) : UtcTime プロセスのコマンドライン : CommandLine 実行プロセスや引数が記録されるプロセスID : ProcessId タスクにより実行されたプロセスに対する実行アクセス履歴の調査に使用できるタスク登録が行われた場合以下のログが出力されるイベント ID : 106 ( タスクが登録されました ) 7 ユーザー Server 2008 R2 管理者ユーザー ( 続 ) 接続先 (Windows Server 2008 R2) ( 続 ) アプリケーションとサービスログ \Microsoft\Windows \TaskScheduler \Operational タスクを登録したユーザー : 詳細タブ > EventData\UserContext タスク名 : 詳細タブ > EventData\TaskName タスクが実行された場合以下のログが出力されるイベント ID : 200 ( 開始された操作 ) タスク名 : 詳細タブ > EventData\TaskName 実行されたコマンド : 詳細タブ > EventData\ActionName タスクのインスタンスID : 詳細タブ > EventData\TaskInstanceId イベント ID : 129 ( タスクのプロセスが作成されました ) 詳細タブ > EventData\TaskName が開始イベント ( イベント ID 200) に出力されている TaskName と一致する実行されたプロセス : 詳細タブ > EventData\Path プロセスID : 詳細タブ > EventData\ProcessID タスクにより実行されたプロセスに対する実行アクセス履歴の調査に使用できるイベント ID : 201 ( 操作が完了しました ) 詳細タブ > EventData\InstanceId が開始イベント ( イベント ID 200) に出力されている TaskInstanceId と一致するタスク名 : 詳細タブ > EventData\TaskName 実行されたコマンド : 詳細タブ > EventData\TaskActionName 実行結果( 戻り値 ) : 詳細タブ > EventData\ResultCode 戻り値の意味は実行された処理により異なる記載のもの以外で出力される可能性のあるタスクから呼び出されたコマンドに関連するログが出力される可能性がある 23

25 コマンド実行 > BITS BITS 動作条件ログから得られる情報名称カテゴリ概要攻撃時における想定利用例権限対象 OS ドメインへの参加通信プロトコルサービス標準設定実行成功時に確認できる痕跡 BITS コマンド実行バックグラウンドでファイルを送受信する ( 送受信の際優先度などを設定することが可能 ) 他の通信と比較して目立たない程度の帯域でファイルを送受信する接続元: BITSによってファイルを送信受信しようとする端末接続先: ファイルの送受信先標準ユーザー Windows 不要 445/tcp Background Intelligent Transfer Service 接続元: Background Intelligent Transfer Service の実行状態が変わることで BITSの使用を判断出来る可能性がある但し BITSが既に動作している場合は判断できない接続先: 有益な情報は記録されない接続元: BITSにより作成される一時ファイル "BITF[ ランダム数字 ].tmp" に対する書き込みが記録される接続先: 有益な情報は記録されないに以下のログがある場合ファイルの転送が行われたと考えられるアプリケーションとサービスログ\Microsoft\Windows\BitsClient にイベントID: 60が記録されており状態コードが "0x0" となっているイベントID : 4656 ( オブジェクトへのハンドルが要求されました ) 4663 ( オブジェクトへのアクセスが試行されました ) 4658 ( オブジェクトに対するハンドルが閉じました ) オブジェクト > オブジェクト名 : "[ ファイルが作成されたパス ]\BITF[ ランダム数字 ].tmp" "BITF" で名前が始まる一時ファイルが作成されることから BITSによるファイル転送が発生したことが分かるハンドルID( 他ログとの紐付けに使用する ): オブジェクト > ハンドルID ハンドルを要求したプロセスのプロセスID: プロセス情報 > プロセスID ( イベント4688で作成されたプロセスのIDと一致する ) 処理内容: アクセス要求情報 > アクセスアクセス理由 ("WriteData ( または AddFile)" "AppendData ( または AddSubdirectoryまたは CreatePipeInstance)" "DELETE" ) 成否: キーワード (" 成功の監査 " ) イベント ID : 2 (File creation time changed) Image 名 : "C:\Windows\system32\svchost.exe" タイムスタンプが変更された一時ファイル: "[ ファイルが作成されたパス ]\BITF[ ランダム数字 ].tmp" イベント ID : 7036 ( サービスの状態が移行しました ) 詳細タブ > System\Provider\Name が "Service Control Manager" となっている詳細タブ > EventData\param1 が "Background Intelligent Transfer Service" となっているユーザーユーザー接続元システムサービスの実行: 詳細タブ > EventData\param2 (" 実行中 " ) 備考端末を最後に起動してから BITSを利用する処理を実行したことがある場合ログが出力されない可能性がある ( 例えば Windows Updateで使用されているため Windows Updateでファイルをダウンロードした場合は出力されない可能性がある ) アプリケーションとサービスログ \Microsoft\Windows \BitsClient イベントID : 60 対象ファイル: 詳細タブ > ventdata\url 成否: 全般タブ > 状態コードレジストリエントリ : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\BITS レジストリサービスの状態: StateIndex 備考 BITSの状態が実行中となることで変動するコマンド実行時にBITSが既に実行状態であった場合値が変動しない接続先イベント ID : 5145 ( クライアントになアクセスを付与できるかどうかについてネットワーク共有オブジェクトがチェックされました ) ネットワーク情報 > 送信元アドレス : "[ 接続元ホスト ]" ネットワーク情報 > ソースアドレス : "[ 接続元ポート ]" 共有名: 共有情報 > 共有名共有パス: 共有情報 > 共有パス配置されたファイル名: 共有情報 > 相対ターゲット名記載のもの以外で出力される可能性のあるオブジェクトの読み取りに対する監査を実施した場合転送されたファイルに対する読み取りが記録される 24

26 パスワードハッシュの入手 > PwDump PwDump7 名称カテゴリ概要攻撃時における想定利用例権限対象 OS 動作条件ドメインへの参加通信プロトコルサービスログから標準設定得られる情報実行成功時に確認できる痕跡 PwDump7 パスワードハッシュの入手システム内のパスワードハッシュ一覧を表示する取得したハッシュ情報を用い他の端末に対するログオン認証をおこなう管理者ユーザー Windows 不要 () ( 監査ポリシー) 等では判断できないイベントID : 4688 ( 新しいプロセスが作成されました ) プロセス情報 > プロセス名 : "[ 検体 (PwDump7.exe)]" 確認ポイントプロセスの開始終了日時: プロセスを実行したユーザー名: サブジェクト > アカウント名プロセスを実行したユーザーのドメイン: サブジェクト > アカウントドメインプロセス実行時の権限昇格の有無: プロセス情報 > トークン昇格の種類プロセスの戻り値: プロセス情報 > 終了状態端末 (Windows) イベント ID : 1 (Process Create) Image : "[ 検体 (PwDump7.exe)]" プロセスの開始終了日時(UTC): UtcTime プロセスのコマンドライン: CommandLine 使用されたオプションが引数として記録される実行ユーザー名: User プロセスID: ProcessId ファイル名 : C:\Windows\\[ 実行ファイル (PWDUMP7.EXE)][ 文字列 ].pf ( を利用して下記を確認できる :WinView) 最終実行日時: Last Run Time 記載のもの以外で出力される可能性のある 25

27 パスワードハッシュの入手 > PWDumpX PWDumpX 動作条件ログから得られる情報名称カテゴリ概要攻撃時における想定利用例権限対象 OS ドメインへの参加通信プロトコルサービス標準設定実行成功時に確認できる痕跡 PWDumpX パスワードハッシュの入手リモートホストからパスワードハッシュを取得する取得したハッシュを用いて passthehashなどの攻撃をおこなう接続元: PWDumpX 実行元接続先: PWDumpXによってログインされた先接続元: 標準ユーザー接続先: 管理者ユーザー Windows 不要 135/tcp, 445/tcp 両ホスト: () 接続先: PWDumpXサービスがインストールされ実行されたことが記録される接続元から接続先へ PWDumpXサービスが送信され実行されたことが記録されるハッシュ情報の作成受領にテキストファイルが利用されていることが記録される接続元: "[ 検体のパス ]\[ 宛先アドレス ]PWHashes.txt" が作成されている場合実行が成功したものと考えられるイベント ID : 4688 ( 新しいプロセスが作成されました ) プロセス情報 > プロセス名 : " [ 検体 (PWDumpX.exe)]" プロセスの開始終了日時 : プロセスを実行したユーザー名 : サブジェクト > アカウント名プロセスを実行したユーザーのドメイン : サブジェクト > アカウントドメインプロセス実行時の権限昇格の有無 : プロセス情報 > トークン昇格の種類プロセスの戻り値 : プロセス情報 > 終了状態一時ファイルが作成されるイベントID : 4663 ( オブジェクトへのアクセスが試行されました ) プロセス情報 > プロセス名 : " [ 検体 (PWDumpX.exe)]" オブジェクト > オブジェクト名 :" [ 検体のパス ]\[ 宛先アドレス ]PWHashes.txt" 複数回上記ファイルに対して書き込みを実施するイベントID : 4663 ( オブジェクトへのアクセスが試行されました ) プロセス情報 > プロセス名 : " [ 検体 (PWDumpX.exe)]" オブジェクト > オブジェクト名 :" [ 検体のパス ]\[ 宛先アドレス ]PWHashes.txt.Obfuscated" 接続元ハンドルID: オブジェクト > ハンドル ID 他ログとの紐付けに使用する複数回上記ファイルに対して書き込みを実施する一時ファイルが削除されるイベントID : 4663 ( オブジェクトへのアクセスが試行されました ) プロセス情報 > プロセス名 : " [ 検体 (PWDumpX.exe)]" オブジェクト > オブジェクト名 :" [ 検体のパス ]\[ 宛先アドレス ]PWHashes.txt.Obfuscated" ハンドルID: オブジェクト > ハンドル ID 他ログとの紐付けに使用する処理内容: アクセス要求情報 > アクセス ("DELETE" ) ユーザー管理者ユーザーイベント ID : 1 (Process Create) Image : "[ 検体 (PWDumpX.exe)]" プロセスの開始終了日時(UTC) : プロセスのコマンドライン : 実行ユーザ名 : プロセスID : UtcTime CommandLine 接続先ホストや使用されたアカウントが引数に入る User ProcessId ファイル名 : C:\Windows\\[ 検体 (PWDUMPX.EXE)][ 検体 ].pf ( を利用して下記を確認できる :WinView) 最終実行日時 : Last Run Time イベントID : 4688 ( 新しいプロセスが作成されました ) プロセス情報 > プロセス名 : "[ 検体 (DumpSvc.exe)]" プロセスの開始終了日時 : プロセスを実行したユーザー名 : サブジェクト > アカウント名プロセスを実行したユーザーのドメイン : サブジェクト > アカウントドメインプロセス実行時の権限昇格の有無 : プロセス情報 > トークン昇格の種類プロセスの戻り値 : プロセス情報 > 終了状態イベントID : 5145 ( クライアントになアクセスを付与できるかどうかについてネットワーク共有オブジェクトがチェックされました ) ネットワーク情報 > 送信元アドレス : "[ 接続元 ]" 共有情報 > 共有名 : "\\*\ADMIN$" 共有情報 > 相対ターゲット名 : "system32\dumpsvc.exe" "system32\dumpext.dll" 接続先イベントID : 4663 ( オブジェクトへのアクセスが試行されました ) プロセス情報 > プロセス名 : "C:\Windows\System32\lsass.exe" オブジェクト > オブジェクト名 :"C:\Windows\System32\PWHashes.txt" "C:\Windows\System32\PWHashes.txt.Obfuscated" ハンドルID( 他ログとの紐付けに使用する ): オブジェクト > ハンドル ID 複数回上記ファイルに対して書き込みを実施するイベントID : 4663 ( オブジェクトへのアクセスが試行されました ) プロセス情報 > プロセス名 : "C:\Windows\System32\lsass.exe" オブジェクト > オブジェクト名 :"C:\Windows\System32\PWHashes.txt.Obfuscated" "C:\Windows\System32\PWHashes.txt" "C:\Windows\System32\DumpExt.dll" "C:\Windows\System32\DumpSvc.exe" ハンドルID: オブジェクト > ハンドル ID 他ログとの紐付けに使用する処理内容: アクセス要求情報 > アクセス ("DELETE" ) 26

28 パスワードハッシュの入手 > PWDumpX イベントID : 1 (Process Create) Image : "C:\Windows\System32\DumpSvc.exe" プロセスの開始終了日時(UTC) : プロセスのコマンドライン : 実行ユーザ名 : プロセスID : UtcTime CommandLine User ProcessId ユーザー管理者ユーザー ( 続 ) 接続先 ( 続 ) システムイベント ID : 8 (CreateRemoteThread detected:) Image : "C:\Windows\System32\DumpSvc.exe" TargetImage : "C:\Windows\System32\lsass.exe" イベント ID : 7045 ( サービスがシステムにインストールされました ) サービス名 : ("PWDumpX Service" ) サービスファイル名 : ("%windir%\system32\dumpsvc.exe" ) イベントID : 7036 ( サービスの状態が移行しました ) サービス名 : ("PWDumpX Service" ) サービス "PWDumpX Service" がリモートプロセス実行前に " 実行中 " となり実行後に " 停止 " となるファイル名 : C:\Windows\\DUMPSVC.EXEDB3A90FA.pf ( を利用して下記を確認できる :WinView) 最終実行日時 : Last Run Time 記載のもの以外で出力される可能性のある 27

29 パスワードハッシュの入手 > Quarks PwDump Quarks PwDump 動作条件ログから得られる情報名称カテゴリ概要攻撃時における想定利用例権限対象 OS ドメインへの参加通信プロトコルサービス標準設定実行成功時に確認できる痕跡 Quarks PwDump パスワードハッシュの入手ローカルドメインアカウントのNTLMハッシュやキャッシュされたドメインパスワードを取得する端末内の情報に加え NTDS.DITファイルを指定して解析することも可能取得したハッシュ情報を用い他の端末に対するログオン認証をおこなう管理者ユーザー Windows 不要 () ( 監査ポリシー) 一時ファイル("SAM[ ランダム数字 ].dmp" ) が作成されたことの記録一時ファイル("SAM[ ランダム数字 ].dmp" ) が作成され削除されているイベント ID : 4688 ( 新しいプロセスが作成されました ) プロセス情報 > プロセス名 : "[ 検体 (QuarksPwDump.exe)]" プロセスの開始終了日時 : プロセスを実行したユーザー名 : サブジェクト > アカウント名プロセスを実行したユーザーのドメイン : サブジェクト > アカウントドメインプロセス実行時の権限昇格の有無 : プロセス情報 > トークン昇格の種類プロセスの戻り値 : プロセス情報 > 終了状態成功の場合は "0x0" 失敗の場合はそれ以外の値となるイベントID : 4656 ( オブジェクトへのハンドルが要求されました ) 4663 ( オブジェクトへのアクセスが試行されました ) 4658 ( オブジェクトに対するハンドルが閉じました ) プロセス情報 > プロセス名 : "[ 検体 (QuarksPwDump.exe)]" 対象ファイル: オブジェクト > オブジェクト名 ("C:\Users\[ ユーザー名 ]\AppData\Local\Temp\SAM[ ランダム数字 ].dmp" ) ハンドルID: オブジェクト > ハンドル ID 他ログとの紐付けに使用する処理内容: アクセス要求情報 > アクセス ("WriteData ( または AddFile)" ) 端末 (Windows) イベントID : 4656 ( オブジェクトへのハンドルが要求されました ) 4660 ( ファイルが削除されました ) 4658 ( オブジェクトに対するハンドルが閉じました ) プロセス情報 > プロセス名 : "[ 検体 (QuarksPwDump.exe)]" プロセス情報 > プロセスID : "[ 検体のプロセスID]" オブジェクト > オブジェクト名 : "C:\Users\[ ユーザー名 ]\AppData\Local\Temp\SAM[ ランダム数字 ].dmp" ハンドルID: オブジェクト > ハンドル ID 他ログとの紐付けに使用する要求された処理: アクセス要求情報 > アクセスアクセス理由 ("DELETE" ) 成否: キーワード (" 成功の監査 " ) イベントID : 1 (Process Create) Image : "[ 検体 (QuarksPwDump.exe)]" プロセスの開始終了日時(UTC): UtcTime プロセスのコマンドライン: CommandLine 指定されたオプション ( 取得されたパスワードの種類 ) が引数に記録される実行ユーザー名: User プロセスID: ProcessId ファイル名 : C:\Windows\\[ 検体 (QUARKSPWDUMP.EXE)][ 文字列 ].pf ( を利用して下記を確認できる :WinView) 最終実行日時 : Last Run Time 記載のもの以外で出力される可能性のある 28

30 パスワードハッシュの入手 > mimikatz mimikatz > sekurlsa::logonpasswords mimikatz > lsadump::sam Mimikatz ( パスワードハッシュ入手 ) 名称カテゴリ概要攻撃時における想定利用例権限対象 OS 動作条件ドメインへの参加通信プロトコルサービスログから標準設定得られる情報実行成功時に確認できる痕跡 mimikatz > sekurlsa::logonpasswords mimikatz > lsadump::sam パスワードハッシュの入手記憶された認証情報を搾取パスワードを取得したりドメイン Administrator 権限に昇格する際に実行する管理者ユーザー Windows 不要 () ( 監査ポリシー) 等では判断できないイベント ID : 4688 ( 新しいプロセスが作成されました ) プロセス情報 > プロセス名 : "[ 検体 (mimikatz.exe)]" プロセスの開始終了日時: プロセスを実行したユーザー名: サブジェクト > アカウント名プロセスを実行したユーザーのドメイン: サブジェクト > アカウントドメインプロセス実行時の権限昇格の有無: プロセス情報 > トークン昇格の種類プロセスの戻り値: プロセス情報 > 終了状態端末 (Windows) イベント ID : 1 (Process Create) Image : "[ 検体 (mimikatz.exe)]" プロセスの開始終了日時(UTC): UtcTime プロセスのコマンドライン: CommandLine 使用されたオプションが引数として記録される実行ユーザー名: User プロセスID: ProcessId ファイル名 : C:\Windows\\[ 実行ファイル (MIMIKATZ.EXE)][ 文字列 ].pf ( を利用して下記を確認できる :WinView) 最終実行日時 : Last Run Time 記載のもの以外で出力される可能性のある 29

31 パスワードハッシュの入手 > mimikatz mimikatz > sekurlsa::tickets Mimikatz ( チケット入手 ) 名称カテゴリ概要攻撃時における想定利用例権限対象 OS 動作条件ドメインへの参加通信プロトコルサービスログから標準設定得られる情報実行成功時に確認できる痕跡 mimikatz > sekurlsa::tickets パスワードハッシュの入手端末が全てのセッションのチケットを取得するリモートでコマンドを実行するためにチケットを取得する管理者ユーザー Windows 不要 () ( 監査ポリシー) チケットを出力したファイルが生成されたことが記録されるチケットを出力したファイルが生成された場合処理が成功したものと考えられるイベント ID : 4688 ( 新しいプロセスが作成されました ) プロセス情報 > プロセス名 : "[ 検体 (mimikatz.exe)]" プロセスの開始終了日時: プロセスを実行したユーザー名: サブジェクト > アカウント名プロセスを実行したユーザーのドメイン: サブジェクト > アカウントドメインプロセス実行時の権限昇格の有無: プロセス情報 > トークン昇格の種類プロセスの戻り値: プロセス情報 > 終了状態全チケットを処理するまで以下イベント ID: の処理を繰り返すイベント ID : 4656 ( オブジェクトに対するハンドルが要求されました ) プロセス情報 > プロセス名 : "[ 検体 (mimikatz.exe)]" 対象ファイル: オブジェクト > オブジェクト名 ("[ チケットファイル名 ]" ) ハンドルID: オブジェクト > ハンドル ID 他ログとの紐付けに使用する処理内容: アクセス要求情報 > アクセス ("READ_CONTROL" "SYNCHRONIZE" "WriteData ( または AddFile)" "AppendData ( または AddSubdirectory または CreatePipeInstance)" "WriteEA" "ReadAttributes" "WriteAttributes" ) 端末 (Windows) イベントID : 4663 ( オブジェクトへのアクセスが試行されました ) ハンドルID: オブジェクト > ハンドル ID 他ログとの紐付けに使用する処理内容: アクセス要求情報 > アクセス ("WriteData ( または AddFile)" "AppendData ( または AddSubdirectory または CreatePipeInstance)") イベント ID : 4658 ( オブジェクトに対するハンドルが閉じました ) ハンドルID: オブジェクト > ハンドル ID イベントID : 1 (Process Create) Image : "[ 検体 (mimikatz.exe)]" プロセスの開始終了日時(UTC): UtcTime プロセスのコマンドライン: CommandLine 使用されたオプションが引数として記録される ( イベントID 1に記録される ) 実行ユーザー名: User プロセスID: ProcessId ファイル名 : C:\Windows\\[ 実行ファイル (MIMIKATZ.EXE)][ 文字列 ].pf ( を利用して下記を確認できる :WinView) 最終実行日時: Last Run Time 記載のもの以外で出力される可能性のある 30

32 パスワードハッシュの入手 > WCE (Windows Credentials Editor) WCE (Windows Credentials Editor) 動作条件ログから得られる情報名称カテゴリ概要攻撃時における想定利用例権限対象 OS ドメインへの参加通信プロトコルサービス標準設定実行成功時に確認できる痕跡 WCE (Windows Credentials Editor) パスワードハッシュの入手ログイン端末のメモリ内に存在するパスワードハッシュ情報を取得する取得したハッシュ情報を用いて passthehash などの攻撃を実施する管理者ユーザー Windows 不要 () 検体が実行されたこと及び検体実行時に使用されたオプション() 検体による lsass.exeの参照 () ファイルの作成削除( 監査ポリシー ) "C:\Users\[ ユーザー名 ]\AppData\Local\Temp\wceaux.dll" ファイルが作成削除されているイベント ID : 4688 ( 新しいプロセスが作成されました ) プロセス情報 > プロセス名 : "[ 検体 (wce.exe)]" プロセスの開始終了日時 : プロセスを実行したユーザー名 : サブジェクト > アカウント名プロセスを実行したユーザーのドメイン : サブジェクト > アカウントドメインプロセス実行時の権限昇格の有無 : プロセス情報 > トークン昇格の種類プロセスの戻り値 : プロセス情報 > 終了状態イベントID : 4656 ( オブジェクトへのハンドルが要求されました ) 4663 ( オブジェクトへのアクセスが試行されました ) 4658 ( オブジェクトに対するハンドルが閉じました ) プロセス情報 > プロセス名 : "[ 検体 (wce.exe)]" 対象ファイル: オブジェクト > オブジェクト名 :("C:\Users\[ ユーザー名 ]\AppData\Local\Temp\wceaux.dll") ハンドルID: オブジェクト > ハンドル ID 他ログとの紐付けに使用する処理内容: アクセス要求情報 > アクセス ("READ_CONTROL" "SYNCHRONIZE" "ReadData ( または ListDirectory)" "WriteData ( またはAddFile)" "AppendData ( または AddSubdirectory または CreatePipeInstance)" "ReadEA" "WriteEA" "ReadAttributes" "WriteAttributes" ) 成否: キーワード (" 成功の監査 " ) 端末 (Windows) イベントID : 4656 ( オブジェクトに対するハンドルが要求されました ) 4660 ( オブジェクトが削除されました ) 4658 ( オブジェクトに対するハンドルが閉じました ) プロセス情報 > プロセス名 : "[ 検体 (wce.exe)]" 対象ファイル: オブジェクト > オブジェクト名 :("C:\Users\[ ユーザー名 ]\AppData\Local\Temp\wceaux.dll") ハンドルID: オブジェクト > ハンドル ID 他ログとの紐付けに使用する処理内容: アクセス要求情報 > アクセス ("DELETE" ) 成否: キーワード (" 成功の監査 " ) イベント ID : 1 (Process Create) Image : "[ 検体 (wce.exe)]" プロセスの開始終了日時(UTC) : プロセスのコマンドライン : 実行ユーザ名 : プロセスID : UtcTime CommandLine User ProcessId イベントID : 8 (CreateRemoteThread detected) Image : "[ 検体 (wce.exe)]" TargetImage : "C:\Windows\System32\lsass.exe" プロセスの開始日時(UTC): UtcTime ファイル名 : C:\Windows\\[ 検体 (WCE.EXE)][ 文字列 ].pf ( を利用して下記を確認できる :WinView) 最終実行日時 : Last Run Time 記載のもの以外で出力される可能性のある 31

33 パスワードハッシュの入手 > gsecdump gsecdump 名称カテゴリ概要攻撃時における想定利用例権限対象 OS 動作条件ドメインへの参加通信プロトコルサービスログから標準設定得られる情報実行成功時に確認できる痕跡 gsecdump パスワードハッシュの入手 SAM/AD やログオンセッションからハッシュを抽出する取得したハッシュ情報を用い他の端末に対してログオンする管理者ユーザー Windows 32ビット (64ビット環境で動作する検体は未確認) 不要 () ( 監査ポリシー) 等では判断できないイベント ID : 4688 ( 新しいプロセスが作成されました ) プロセス情報 > プロセス名 : "[ 検体 ]" プロセスの開始終了日時: プロセスを実行したユーザー名: サブジェクト > アカウント名プロセスを実行したユーザーのドメイン: サブジェクト > アカウントドメインプロセス実行時の権限昇格の有無: プロセス情報 > トークン昇格の種類プロセスの戻り値: プロセス情報 > 終了状態端末 (Windows) イベント ID : 1 (Process Create) Image : "[ 検体 ]" プロセスの開始終了日時(UTC): UtcTime プロセスのコマンドライン: CommandLine 使用されたオプションが引数として記録される実行ユーザー名: User プロセスID: ProcessId ファイル名 : C:\Windows\\[ 検体 (GSECDUMP.EXE)][ 文字列 ].pf ( を利用して下記を確認できる :WinView) 最終実行日時: Last Run Time 記載のもの以外で出力される可能性のある 32

34 パスワードハッシュ入手 > lslsass lslsass 名称カテゴリ概要攻撃時における想定利用例権限対象 OS 動作条件ドメインへの参加通信プロトコルサービスログから標準設定得られる情報実行成功時に確認できる痕跡 lslsass パスワードハッシュ入手 lsass プロセスから有効なログオンセッションのパスワードハッシュを取得する取得したハッシュ情報を用い他の端末に対するログオン認証をおこなう管理者ユーザー Windows 不要 () ( アクセス履歴) 等では判断できないイベントID : 4688 ( 新しいプロセスが作成されました ) プロセス情報 > プロセス名 : "[ 検体 (lslsass[ ビット数 ].exe)]" プロセスの開始終了日時: プロセスを実行したユーザー名: サブジェクト > アカウント名プロセスを実行したユーザーのドメイン: サブジェクト > アカウントドメインプロセスの戻り値: プロセス情報 > 終了状態端末 (Windows) イベントID : 1 (Process Create) Image : "[ 検体 (lslsass[ ビット数 ].exe)]" プロセスの開始終了日時(UTC): UtcTime プロセスのコマンドライン: CommandLine 使用されたオプションが引数として記録される実行ユーザー名: User プロセスID: ProcessId ファイル名 : C:\Windows\\[ 実行ファイル (LSLSASS[ ビット数 ].EXE)][ 文字列 ].pf ( を利用して下記を確認できる :WinView) 最終実行日時 : Last Run Time 記載のもの以外で出力される可能性のある 33

35 パスワードハッシュの入手 > FindGPOPasswords.ps FindGPOPasswords.ps1 名称カテゴリ概要攻撃時における想定利用例権限対象 OS 動作条件ドメインへの参加通信プロトコルサービス標準設定ログから得られる情報実行成功時に確認できる痕跡 FindGPOPasswords.ps1 パスワードハッシュの入手グループポリシーのファイルにパスワードの記載がある場合それを取得する取得したパスワードを用いて他ホストへの侵入などを試みる (Active Directory 上で実行する ) 管理者ユーザー Windows Server 本調査はドメインコントローラー上で実施要 () 通常時からPowerShellを使用している場合は参考にならない PowerShellを起動したことが記録されるパスワードをダンプしたファイル(GPPDataReport[ ドメイン名 ][ 日時 ].csv) を出力したことが記録されるパスワードをダンプした結果のファイル(GPPDataReport[ ドメイン名 ][ 日時 ].csv) が出力されているイベント ID : 4688 ( 新しいプロセスが作成されました ) プロセス情報 > プロセス名 : "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" プロセスの開始終了日時 : プロセスを実行したユーザー名 : サブジェクト > アカウント名プロセスを実行したユーザーのドメイン : サブジェクト > アカウントドメインプロセス実行時の権限昇格の有無 : プロセス情報 > トークン昇格の種類プロセスの戻り値 : プロセス情報 > 終了状態イベントID : 4656 ( オブジェクトに対するハンドルが要求されました ) プロセス情報 > プロセス名 : "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" 対象ファイル: オブジェクト > オブジェクト名 :("C:\Users\[ ユーザー名 ]\AppData\Local\Microsoft\Windows\SchCache \[ ドメインコントローラー FQDN].sch") ハンドルID: オブジェクト > ハンドル ID 他ログとの紐付けに使用する処理内容: アクセス要求情報 > アクセス ("READ_CONTROL","SYNCHRONIZE","WriteData ( または AddFile)"," AppendData ( またはAddSubdirectory または CreatePipeInstance)","WriteEA","ReadAttributes","WriteAttributes" ) イベントID : 4663 ( オブジェクトへのアクセスが試行されました ) プロセス情報 > プロセス名 : "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" ハンドルID: オブジェクト > ハンドル ID 他ログとの紐付けに使用する処理内容: アクセス要求情報 > アクセス ("WriteData ( または AddFile)" "AppendData ( または AddSubdirectory または CreatePipeInstance)") イベントID : 4658 ( オブジェクトに対するハンドルが閉じました ) プロセス情報 > プロセス名 : "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" ハンドルID: オブジェクト内ハンドル ID 先に出力されるイベント4663で記録されるハンドルID と同じ Active Directory ドメインコントローラー (Windows Server) イベントID : 4656 ( オブジェクトに対するハンドルが要求されました ) プロセス情報 > プロセス名 : "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" 対象ファイル: オブジェクト > オブジェクト名 :("GPPDataReport[ ドメイン名 ][ 日時 ].csv") ハンドルID: オブジェクト > ハンドル ID 他ログとの紐付けに使用する処理内容: アクセス要求情報 > アクセス ("READ_CONTROL","SYNCHRONIZE","WriteData ( または AddFile)"," AppendData ( またはAddSubdirectory または CreatePipeInstance)","WriteEA","ReadAttributes","WriteAttributes" ) イベントID : 4663 ( オブジェクトへのアクセスが試行されました ) プロセス情報 > プロセス名 : "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" 対象ファイル: オブジェクト > オブジェクト名 :("GPPDataReport[ ドメイン名 ][ 日時 ].csv") ハンドルID: オブジェクト > ハンドル ID 他ログとの紐付けに使用する処理内容: アクセス要求情報 > アクセス ("WriteData ( または AddFile)" "AppendData ( または AddSubdirectory または CreatePipeInstance)") イベント ID : 4658 ( オブジェクトに対するハンドルが閉じました ) プロセス情報 > プロセス名 : "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" ハンドルID: オブジェクト > ハンドル ID 先に出力されるイベント 4663 で記録されるハンドル ID と同じイベントID : プロセス情報 > プロセス名 : "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" プロセスの終了日時: プロセスの戻り値: プロセス情報 > 終了状態イベントID : 1 (Process Create) Image :"C:\Windows\System32\Windows PowerShell\v1.0\powershell.exe" プロセスの開始終了日時(UTC): UtcTime 実行ユーザー名: User プロセスID: ProcessId 記載のもの以外で出力される可能性のある 34

36 パスワードハッシュの入手 > Mail PassView Mail PassView 動作条件ログから得られる情報名称カテゴリ概要攻撃時における想定利用例権限対象 OS ドメインへの参加通信プロトコルサービス標準設定実行成功時に確認できる痕跡 Mail PassView パスワードハッシュの入手端末上のメールクライアントの設定に保存されているアカウント情報を抽出する本を使用して取得した情報を用いてメールを送受信する同じユーザ名パスワードが他所でも使用されている場合利用される可能性がある標準ユーザー Windows 不要 () ( 監査ポリシー) 等では判断できない抽出したパスワードが保存されている場合は成功したと判断できる保存されている情報に対するパスワード保護がある場合などは本検体で解読できないため実行の成功と情報収集の成功は必ずしも一致しないイベント ID : 4688 ( 新しいプロセスが作成されました ) プロセス情報 > 新しいプロセス名 : "[ 検体 (mailpv.exe)]" プロセスの開始終了日時 : プロセスを実行したユーザー名 : サブジェクト > アカウント名プロセスを実行したユーザのドメイン : サブジェクト > アカウントドメインプロセス実行時の権限昇格の有無: プロセス情報 > トークン昇格の種類プロセスの戻り値 : プロセス情報 > 終了状態イベントID : 4663 ( オブジェクトへのアクセスが試行されました ) 4656 ( オブジェクトへのハンドルが要求されました ) 4658 ( オブジェクトに対するハンドルが閉じました ) プロセス情報 > プロセス名 : "[ 検体 (mailpv.exe)]" 端末 (Windows) 対象ファイル: オブジェクト > オブジェクト名 :"[ 引数で指定したファイル ]" ハンドルID: オブジェクト > ハンドル ID 他ログとの紐付けに使用する処理内容: アクセス要求情報 > アクセス ("WriteData ( または AddFile)" ) イベントID : 1 (Process Create) Image : "[ 検体 (mailpv.exe)]" プロセスの開始終了日時(UTC): UtcTime プロセスのコマンドライン: CommandLine 出力先となるテキストファイル名を引数で指定する実行ユーザー名: User プロセスID: ProcessId ファイル名 : C:\Windows\\[ 検体 (MAILPV.EXE)][ 文字列 ].pf ( を利用して下記を確認できる :WinView) 最終実行日時 : Last Run Time 記載のもの以外で出力される可能性のある Mail PassView が対応しているメールクライアントのプロファイルに読み取りアクセスが発生する可能性がある 35

37 パスワードハッシュの入手 > WebBrowserPassView WebBrowserPassView 動作条件ログから得られる情報名称カテゴリ概要攻撃時における想定利用例権限対象 OS ドメインへの参加通信プロトコルサービス標準設定実行成功時に確認できる痕跡 WebBrowserPassView パスワードハッシュの入手端末の Web ブラウザに保存されているユーザー名パスワードを抽出するイントラネットや外部サービスを利用する際に入力するアカウント情報を抽出し利用する標準ユーザー Windows 不要 () ( 監査ポリシー) 等では判断できない抽出したパスワードが保存されている場合は成功したと判断できる保存されている情報に対するパスワード保護がある場合などは本検体で解読できないため実行の成功と情報収集の成功は必ずしも一致しないイベントID : 4688 ( 新しいプロセスが作成されました ) プロセス情報 > プロセス名 : "[ 検体 (WebBrowserPassView.exe)]" プロセスの開始終了日時 : プロセスを実行したユーザー名 : サブジェクト > アカウント名プロセスを実行したユーザのドメイン : サブジェクト > アカウントドメインプロセス実行時の権限昇格の有無: プロセス情報 > トークン昇格の種類プロセスの戻り値 : プロセス情報 > 終了状態イベントID : 4663 ( オブジェクトへのアクセスが試行されました ) 4656 ( オブジェクトへのハンドルが要求されました ) 4658 ( オブジェクトに対するハンドルが閉じました ) プロセス情報 > プロセス名 : "[ 検体 (WebBrowserPassView.exe)]" 端末 (Windows) 対象ファイル: オブジェクト > オブジェクト名 :"[ 引数で指定したファイル ]" ハンドルID: オブジェクト > ハンドル ID 他ログとの紐付けに使用する処理内容: アクセス要求情報 > アクセス ("WriteData ( または AddFile)" ) イベントID : 1 (Process Create) Image : "[ 検体 (WebBrowserPassView.exe)]" プロセスの開始終了日時(UTC): UtcTime プロセスのコマンドライン: CommandLine 出力先となるテキストファイル名を引数で指定する実行ユーザー名: User プロセスID: ProcessId ファイル名 : C:\Windows\\[ 検体 (WEBBROWSERPASSVIEW.EXE)][ 文字列 ].pf ( を利用して下記を確認できる :WinView) 最終実行日時: Last Run Time 記載のもの以外で出力される可能性のある WebBrowserPassViewが対応しているブラウザがシステム上にインストールされている場合各ブラウザのプロファイルに対する読み取りが発生する最新のWebBrowserPassViewはGUI 用であり実行後に設定を "[ 検体名 ].cfg" に保存する特徴がある 36

38 パスワードハッシュの入手 > Remote Desktop PassView Remote Desktop PassView 名称カテゴリ概要攻撃時における想定利用例権限対象 OS 動作条件ドメインへの参加通信プロトコルサービスログから標準設定得られる情報実行成功時に確認できる痕跡 Remote Desktop PassView パスワードハッシュの入手端末上の RDP の設定に保存されているアカウント情報を抽出するリモートデスクトップの設定ファイル内に保存されているパスワードを抽出しそのパスワードを用いて他のホストへログインする標準ユーザー Windows 不要 () ( 監査ポリシー) 等では判断できない抽出したパスワードが保存されている場合は成功したと判断できるイベント ID : 4688 ( 新しいプロセスが作成されました ) プロセス情報 > プロセス名 : "[ 検体 (rdpv.exe)]" プロセスの開始終了日時: プロセスを実行したユーザー名: サブジェクト > アカウント名プロセスを実行したユーザーのドメイン: サブジェクト > アカウントドメインプロセス実行時の権限昇格の有無: プロセス情報 > トークン昇格の種類プロセスの戻り値: プロセス情報 > 終了状態イベントID : 4656 ( オブジェクトに対するハンドルが要求されました ) プロセス情報内プロセス名 : "[ 検体 (rdpv.exe)]" 対象ファイル: オブジェクト > オブジェクト名 :(" 対象検体のファイル名は検体に引数で指定 ") ハンドルID: オブジェクト > ハンドル ID 他ログとの紐付けに使用する処理内容: アクセス要求情報 > アクセス ("READ_CONTROL","SYNCHRONIZE","WriteData ( または AddFile)","AppendData ( または AddSubdirectory または CreatePipeInstance)","WriteEA","ReadAttributes","WriteAttributes" ) イベント ID : 4663 ( オブジェクトへのアクセスが試行されました ) 端末 (Windows) ハンドルID: オブジェクト > ハンドル ID 他ログとの紐付けに使用する処理内容: アクセス要求情報 > アクセス ("WriteData ( または AddFile)" "AppendData ( または AddSubdirectory または CreatePipeInstance)") イベント ID : 4658 ( オブジェクトに対するハンドルが閉じました ) ハンドルID: オブジェクト > ハンドル ID イベントID : 1 (Process Create) Image : "[ 検体 (rdpv.exe)]" プロセスの開始終了日時(UTC): UtcTime プロセスのコマンドライン: CommandLine 使用されたオプションが引数として記録される ( イベントID 1に記録される ) 実行ユーザー名: User プロセスID: ProcessId ファイル名 : C:\Windows\\[ 実行ファイル (RDPV.EXE)][ 文字列 ].pf ( を利用して下記を確認できる :WinView) 最終実行日時: Last Run Time 記載のもの以外で出力される可能性のある 37

39 通信の不正中継 > Htran Htran 動作条件ログから得られる情報名称カテゴリ概要攻撃時における想定利用例権限対象 OS ドメインへの参加通信プロトコルサービス標準設定 Htran 通信の不正中継 TCPセッションを作成し他ポートの通信をトンネリングさせるファイアウォールなどで許可されているポートを経由して許可されていないポートの通信を通過させる接続元: Htran 実行元接続先: Htranによって接続した端末標準ユーザー Windows 不要任意のTCPポート接続元: () 接続先: トンネル経由で実行された通信を使用するアプリケーションに依存する接続元: 検体の実行 ( プロセス追跡の監査 ) トンネルホスト ( 攻撃者 ) トンネル先ホスト( 接続先 ) との通信有無 ( オブジェクトアクセスの監査 ) 接続先: トンネル経由で実行された通信を使用するアプリケーションに依存する接続元: に以下のログがある場合通信した可能性がある実行成功時に確認できる痕跡にイベントID 5156でトンネルホストトンネル先ホストとそれぞれ通信したことが記録されている本資料では Htranが実行された端末を接続元 Htranを経由して接続された端末を接続先とするイベント ID : 4688 ( 新しいプロセスが作成されました ) プロセス情報 > プロセス名 : "[ 検体 ]" プロセスの開始終了日時 : プロセスを実行したユーザー名 : サブジェクト > アカウント名プロセスを実行したユーザーのドメイン : サブジェクト > アカウントドメインプロセス実行時の権限昇格の有無 : プロセス情報 > トークン昇格の種類プロセスの戻り値 : プロセス情報 > 終了状態接続元ホストから 2 箇所に対する通信が発生するイベントID : 5156 (Windows フィルターリングプラットフォームで接続が許可されました ) アプリケーション情報 > アプリケーション名 : "[ 検体 ]" ネットワーク情報 > 方向 : " 送信 " ネットワーク情報 > 送信元アドレス : "[ 接続元ホストのIPアドレス ]" ネットワーク情報 > プロトコル : "6" (TCP) トンネルホスト: 宛先アドレストンネルに利用されたポート: 宛先ポートユーザーユーザー接続元イベントID : 5156 (Windows フィルターリングプラットフォームで接続が許可されました ) アプリケーション情報 > アプリケーション名 : "[ 検体 ]" ネットワーク情報 > 方向 : " 送信 " ネットワーク情報 > 送信元アドレス : "[ 接続元ホストのIPアドレス ]" ネットワーク情報 > プロトコル : "6" (TCP) トンネルホスト: 宛先アドレストンネルに利用されたポート: 宛先ポートイベント ID : 1 (Process Create) Image : "[ 検体 ]" プロセスの開始終了日時(UTC) : UtcTime プロセスのコマンドライン : CommandLine 指定時刻実行プロセス対象ホスト : CommandLine 引数にトンネルホスト ( 攻撃者 ) のIPアドレス及びポート番号トンネル先となるホスト ( 接続先 ) のIPアドレス及びポート番号が記録される実行ユーザ名 : User プロセスID : ProcessId ファイル名 : C:\Windows\\[ 検体 ][ 文字列 ].pf ( を利用して下記を確認できる :WinView) 最終実行日時 : Last Run Time トンネル経由で実行された通信を使用するアプリケーションによって複数のログが記録される可能性がある接続先各種ログ Htran 経由で多く使用されるものとしてリモートデスクトップ (RDP) があるこの場合はトンネル先である接続先に Htranが実行された接続元を接続元 IPアドレスとする宛先ポート 3389/tcp の通信が記録される RDPのログ詳細については別途 RDPの資料を参照記載のもの以外で出力される可能性のある HTTP プロキシ対応版が使用された場合プロキシに HTTPS 通信が記録される HTTPS のため SSL をデコード出来ない場合 CONNECT メソッドのみが記録される 38

40 通信の不正中継 > Fake wpad Fake wpad 動作条件ログから得られる情報名称カテゴリ概要攻撃時における想定利用例参考情報権限対象 OS ドメインへの参加通信プロトコルサービス標準設定実行成功時に確認できる痕跡 Fake wpad 通信の不正中継 wpadサーバとして動作し通信内容を取得変更するユーザーに気付かれないように攻撃者のサイトを埋め込むようレスポンスを改変する接続元: 偽装されたwpadファイルを受信する接続先: 偽装されたwpadファイルを接続元に送信することで接続元のプロキシとなる接続先(wpadサーバ): 80/tcp 及び8888/tcpをlistenする Windowsファイアウォールで受信を許可するなどの変更がなため管理者権限が接続元: 標準ユーザー Windows 不要 80/tcp 8888/tcp 接続元: 最後に取得されたプロキシ設定 ( レジストリ ) が記録される通常時からwpadを使用している場合は区別出来ない接続先: () 接続元: 検体を実行しているホストに対して 80/tcp 及び8888/tcpで通信していることが記録される ( オブジェクトアクセスの監査 ) wpad.datのキャッシュが作成されたことが記録される ( オブジェクトアクセスの監査 ) 接続先: 80/tcp 及び8888/tcpをリッスンしたことが記録される ( オブジェクトアクセスの監査 ) wpad.datやプロキシのログであるproxy.logに対するハンドルの要求が記録される ( オブジェクトアクセスの監査 ) 接続元: 本来プロキシやHTTPサーバーで無いはずのホストと 80/tcp 及び8888/tcpによる通信をおこなっている接続先: 本来プロキシやHTTPサーバーで無いはずのホストが 80/tcp 及び8888/tcpをリッスンしている wpad.dat proxy.logが作成されている wpad を取得する際に以下が記録される ( 以下は Internet Explorer の例であるため他のブラウザでは保存場所や挙動が異なる ) なおイベント ID は wpad を使用している場合に記録されるため wpad を利用している場合は不正なものと区別がつかないイベントID : 5156 (Windows フィルターリングプラットフォームで接続が許可されました ) アプリケーション情報 > アプリケーション名 : "\device\harddiskvolume 2 \program files\internet explorer\iexplore.exe" ネットワーク情報 > 方向 : " 送信 " ネットワーク情報 > 宛先ポートプロトコル : "80" "6" (TCP) 接続したホスト: ネットワーク情報 > 宛先アドレスイベント ID : 4656 ( オブジェクトへのハンドルが要求されました ) 4663 ( オブジェクトへのアクセスが試行されました ) 4658 ( オブジェクトに対するハンドルが閉じました ) 接続元対象のファイル: オブジェクト > オブジェクト名 ("C:\Users\[ ユーザー名 ]\AppData\Local\Microsoft\Windows\Temporary Internet Files \Content.IE5\[ 文字列 ]\wpad[1].htm" ) ハンドルID: 処理内容: オブジェクト > ハンドルID 他ログとの紐付けに使用するアクセス要求情報 > アクセス ("WriteAttributes" "WriteData ( またはAddFile)" "AppendData ( または AddSubdirectory または CreatePipeInstance" ) 成否 : キーワード (" 成功の監査 " ) プロキシが利用されると以下が記録される wpad.dat 内で当該ホストをプロキシとして使用しない条件が書かれている場合宛先アドレスは実際に接続する先のホストとなるイベントID : 5156 (Windows フィルターリングプラットフォームで接続が許可されました ) アプリケーション情報 > アプリケーション名 : "\device\harddiskvolume2\program files\internet explorer\iexplore.exe" ネットワーク情報 > 方向 : " 送信 " ネットワーク情報 > 宛先ポートプロトコル : "8888" "6" (TCP) プロキシとして利用されたホスト: ネットワーク情報 > 宛先アドレスユーザーユーザーアクセス履歴レジストリレジストリエントリ : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\ SavedLegacySettings HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\ DefaultConnectionSettings 最後に取得されたプロキシ設定通常時からwpadを使用している場合区別出来ないイベントID : 4688 ( 新しいプロセスが作成されました ) プロセス情報 > 新しいプロセス名 : "[ 検体 (wpad.exe)]" プロセスの開始終了日時 : プロセスを実行したユーザー名 : サブジェクト > アカウント名プロセスを実行したユーザーのドメイン : サブジェクト > アカウントドメインプロセス実行時の権限昇格の有無 : プロセス情報 > トークン昇格の種類プロセスの戻り値 : プロセス情報 > 終了状態検体が実行された直後に以下が記録されるイベントID : 5154 (Windowsフィルターリングプラットフォームでアプリケーションまたはサービスによるポートでの着信接続のリッスンが許可されました ) アプリケーション情報 > プロセスID : イベントID 4688で記録されたプロセスID アプリケーション情報 > アプリケーション名 : "\device\harddiskvolume 2 \[ 検体 (wpad.exe)]" 接続先リッスンされたポート : ネットワーク情報 > ソースポート ("80" "8888" ) プロトコル: ネットワーク情報 > プロトコル ("6" = TCP) イベントID : 5156 (Windows フィルターリングプラットフォームで接続が許可されました ) アプリケーション情報 > プロセスID : "4" アプリケーション情報 > アプリケーション名 : "System" ネットワーク情報 > 方向 : " 送信 " ネットワーク情報 > 送信元アドレス : "[ 検体を実行したホスト ]" ネットワーク情報 > 宛先ポートソースポートプロトコル : "137" ( 宛先ソース共 ) "17" 接続元が wpad を取得する際に以下が記録されるイベントID : 5156 (Windows フィルターリングプラットフォームで接続が許可されました ) アプリケーション情報 > プロセスID : イベント4688で記録されたプロセスID アプリケーション情報 > アプリケーション名 : "\device\harddiskvolume 2 \[ 検体 (wpad.exe)]" ネットワーク情報 > 方向 : " 着信 " ネットワーク情報 > ソースポートプロトコル : "80" "6" (TCP) 接続したホスト: ネットワーク情報 > 宛先アドレス 39

41 通信の不正中継 > Fake wpad イベントID : 4656 ( オブジェクトへのハンドルが要求されました ) 4663 ( オブジェクトへのアクセスが試行されました ) 4658 ( オブジェクトに対するハンドルが閉じました ) プロセス情報 > プロセス名 : "[ 検体 (wpad.exe)]" 対象のファイル: オブジェクト > オブジェクト名 ("[ 検体のパス ]\wpad.dat" ) ハンドルID: オブジェクト > ハンドルID 他ログとの紐付けに使用する処理内容: アクセス要求情報 > アクセス ("SYNCHRONIZE" "ReadData ( またはListDirectory)" "WriteData ( またはAddFile)" "AppendData ( またはAddSubdirectoryまたはCreatePipeInstance)" "ReadEA" "WriteEA" "ReadAttributes" "WriteAttributes" ) 成否: キーワード (" 成功の監査 " ) 接続元がホストをプロキシとして利用する際に以下が記録されるログファイル (proxy.log) が実行ファイルと同じパスに作成される ( ログに対するハンドルは都度要求され閉じられる ) イベントID : 5156 (Windows フィルターリングプラットフォームで接続が許可されました ) アプリケーション情報 > プロセスID : イベント4688で記録されたプロセスID アプリケーション情報 > アプリケーション名 : "\device\harddiskvolume 2 \[ 検体 (wpad.exe)]" ネットワーク情報 > 方向 : " 着信 " ネットワーク情報 > ソースポートプロトコル : "8888" "6" (TCP) 接続したホスト: ネットワーク情報 > 宛先アドレスユーザーユーザー ( 続 ) 接続元 ( 続 ) イベントID : 4656 ( オブジェクトへのハンドルが要求されました ) 4663 ( オブジェクトへのアクセスが試行されました ) 4658 ( オブジェクトに対するハンドルが閉じました ) プロセス情報 > プロセス名 : "[ 検体 (wpad.exe)]" 対象のファイル: オブジェクト > オブジェクト名 ("[ 検体のパス ]\proxy.log" ) ハンドルID: オブジェクト > ハンドルID 他ログとの紐付けに使用する処理内容: アクセス要求情報 > アクセス ("WriteData ( またはAddFile)" ) 成否: キーワード (" 成功の監査 " ) イベントID : 5156 (Windows フィルターリングプラットフォームで接続が許可されました ) アプリケーション情報 > プロセスID : イベント4688で記録されたプロセスID アプリケーション情報 > アプリケーション名 : "\device\harddiskvolume 2 \[ 検体 (wpad.exe)]" ネットワーク情報 > 方向 : " 送信 " ネットワーク情報 > 送信元アドレス : "[ 検体を実行しているホスト ]" ネットワーク情報 > ソースポートプロトコル : "[ 宛先サーバのポート ]( 指定が無い場合は80)" "6" (TCP) 接続先: ネットワーク情報 > 宛先アドレスイベントID : 1 (Process Create) Image : "[ 検体 (wpad.exe)]" プロセスの開始終了日時(UTC): UtcTime プロセスのコマンドライン: CommandLine iframeなどが使用された場合引数から読み取ることが可能実行ユーザ名: User プロセスID: ProcessId ファイル名 : C:\Windows\\WPAD.EXE[ 文字列 ].pf ( を利用して下記を確認できる :WinView) 最終実行日時 : Last Run Time 記載のもの以外で出力される可能性のある 40

42 リモートログイン > RDP RDP (Remote Desktop Protocol) 動作条件ログから得られる情報名称カテゴリ概要攻撃時における想定利用例権限対象 OS ドメインへの参加通信プロトコルサービス標準設定実行成功時に確認できる痕跡 RDP (Remote Desktop Protocol) リモートログインリモートデスクトップサービスが稼働しているサーバーに接続するためのプロトコルログインされた端末上でファイルを閲覧他のサーバ端末に接続するための情報を収集他の機器に接続する踏み台として利用標準ユーザー接続元: Windows 接続先: リモートデスクトップを有効化したWindows 不要 3389/tcp 接続先: Remote Desktop Services 接続先: RDPセッションの接続開始終了日時接続元 IPアドレスログインされたユーザー名及びアカウントドメイン接続の成否接続元: mstsc.exeのファイルのアクセス履歴接続先: に以下のログがある場合接続が成功していると考えられるにイベントID: 4624が記録されている Microsoft\Windows\TerminalServicesLocalSessionManager\Operational にイベントID:21 24が記録されているイベントID : 4688 ( 新しいプロセスが作成されました ) プロセス情報 > 新しいプロセス名 : "C:\Windows\System32\mstsc.exe イベントID : 4663 ( オブジェクトへのアクセスが試行されました ) 4656 ( オブジェクトへのハンドルが要求されました ) 4658 ( オブジェクトに対するハンドルが閉じました ) プロセス情報 > プロセス名 : "C:\Windows\System32\mstsc.exe" プロセスの開始終了日時 : プロセスを実行したユーザー名 : サブジェクト > アカウント名プロセスを実行したユーザのドメイン : サブジェクト > アカウントドメインプロセス実行時の権限昇格の有無 : プロセス情報 > トークン昇格の種類プロセスの戻り値 : プロセス情報 > 終了状態対象のファイル : オブジェクト > オブジェクト名 ( 例 :"C:\Users\[ ユーザー名 ]\Documents\Default.rdp" ) ハンドルID( 他ログとの紐付けに使用する ) : オブジェクト > ハンドルID 処理内容 : アクセス要求情報 > アクセス ("WriteData ( またはAddFile)" "AppendData ( またはAddSubdirectoryまたは成否 : キーワード (" 成功の監査 " ) 接続元イベントID : 1 (Process Create) Image : "C:\Windows\System32\mstsc.exe" プロセスの開始終了日時(UTC): UtcTime プロセスのコマンドライン: CommandLine 実行ユーザー名: User プロセスID: ProcessId ユーザーユーザーアクセス履歴レジストリファイル名 : C:\Windows\\MSTSC.EXE76A46E8A.pf ( を利用して下記を確認できる :WinView) 最終実行日時: Last Run Time レジストリエントリ : HKEY_USERS\[SID]\Software\Microsoft\Terminal Server Client\Default\ リモートデスクトップの接続履歴 : 値の名前 ="MRU0" ~"MRU9" 上記の値のデータとして過去に接続した IP アドレスが記録される MRU0 が最後に接続した履歴キーの最終書き込み時刻は "MRU0" の値のデータが更新された日時 ( 接続履歴にない接続先に対して初めて接続した時間 ) が記録されるレジストリエントリ : HKEY_USERS\[SID]\Software\Microsoft\Terminal Server Client\Servers\[ 接続先 IP アドレス ]\ 最後にアクセスしたアカウントドメイン及びユーザー名 : 値の名前 = "UsernameHint" 値のデータとして過去に接続した IP アドレスごとに最後にアクセスしたアカウントドメイン及びユーザー名が記録されるアクセス履歴監査ポリシーイベントID : 4624 ( アカウントが正常にログオンしました ) ログオンタイプ : "10" ネットワーク情報 > ソースネットワークアドレス : イベント5156における宛先アドレスネットワーク情報 > ソースポート : イベント5156に記録された宛先ポート詳細な認証情報 > ログオンプロセス : "Kerberos" 接続元ホスト: ネットワーク情報 > ソースネットワークアドレス使用されたユーザー: 新しいログオン > アカウント名アカウントドメイン新しいログオンID( 他ログとの紐付けに使用 ): 新しいログオン > ログオンID 接続先イベント ID:21 ( リモートデスクトップセッションログオン成功 ) アプリケーションとサービスログ \Microsoft\Windows \TerminalServices LocalSessionManager \Operational セッションの接続開始日時: ログインされたアカウントドメイン及びユーザー名: ユーザー接続元 IPアドレス : ソースネットワークアドレスイベント ID:24 ( リモートデスクトップセッション切断 ) セッションの接続開始日時: イベントID:21のセッションID が同じのログインされたアカウントドメイン及びユーザー名: ユーザー接続元 IPアドレス : ソースネットワークアドレス記載のもの以外で出力される可能性のある接続先のには環境によって下記のログが出力される可能性があるイベント ID : 4624 ( アカウントが正常にログオンしました ) ログオンタイプ :"12" 41

43 passthehash, passtheticket > WCE ( リモートログイン ) WCE ( リモートログイン ) 動作条件ログから得られる情報名称カテゴリ概要攻撃時における想定利用例権限対象 OS ドメインへの参加通信プロトコルサービス標準設定実行成功時に確認できる痕跡 WCE ( リモートログイン ) passthehash, passtheticket 取得したパスワードのハッシュを利用し上位権限でコマンドを実行する ADに所属する管理者ユーザ権限のハッシュを利用し他端末にリモートでコマンド実行を行う接続元: WCE 実行元接続先: WCEによってログインされた先ローカルの管理者ユーザー Windows 不要ランダムな5 桁のポート (WMIC) 接続元: () WCESERVICEがインストールされ実行されていることの記録両側: WMIの及びWindowsフィルターリングプラットフォームのログ接続先: リモートからログインが発生していること接続元: WCESERVICEがインストール実行されたことが記録されている接続先: リモートホストからログオンしたことが記録されている両側: WMIを用いて通信したことが記録されているイベントID : 4656 ( オブジェクトへのハンドルが要求されました ) 4663 ( オブジェクトへのアクセスが試行されました ) 4658 ( オブジェクトに対するハンドルが閉じました ) オブジェクト > オブジェクト名 : "(C:\Windows\Temp\wceaux.dll)" アクセス要求情報 > アクセスアクセス理由 : ("WriteData ( またはAddFile)" ) プロセス名: "[ 検体 (wce.exe)]" ハンドルID: オブジェクト > ハンドルID イベントID : 4656 ( オブジェクトへのハンドルが要求されました ) 4660 ( オブジェクトが削除されました ) 4658 ( オブジェクトに対するハンドルが閉じました ) オブジェクト > オブジェクト名 : "(C:\Windows\Temp\wceaux.dll)" アクセス要求情報 > アクセスアクセス理由 : ("DELETE") プロセス名 : "[ 検体 (wce.exe)]" ハンドル ID: オブジェクト > ハンドル ID イベントの処理を複数ファイルに対しておこなうイベントID : 4656 ( オブジェクトへのハンドルが要求されました ) 4663 ( オブジェクトへのアクセスが試行されました ) 4658 ( オブジェクトに対するハンドルが閉じました ) オブジェクト > オブジェクト名 : "(C:\Users\[ ユーザー名 ]\AppData\Local\Microsoft\Windows\ Temporary Internet Files\Content.IE5)" アクセス要求情報 > アクセスアクセス理由 : ("SYNCHRONIZE" "WriteAttributes" "WriteData ( またはAddFile)") プロセス情報 > プロセス名 : "C:\Windows\System32\wbem\WMIC.exe" ハンドルID: オブジェクト > ハンドルID 他のログとの紐付けに使用するイベントID : 5156 (Windows フィルターリングプラットフォームで接続が許可されました ) アプリケーション情報 > アプリケーション名 : ("C:\Windows\System32\wbem\WMIC.exe") ネットワーク情報 > 方向 : " 送信 " 接続先ホスト: 宛先アドレス接続先ポート: 宛先ポート管理者ユーザー管理者ユーザー接続元 (Windows) システムイベントID : 7045 ( サービスがシステムにインストールされました ) サービス名 : "WCESERVICE" プロセスの開始日時: サービスファイル名 : "[ 検体 (wce.exe)] S" イベントID : 7036 詳細タブ > System\Provider\Name : "Service Control Manager" 詳細タブ > EventData\param1 : "WCESERVICE" サービスの実行: 詳細タブ > EventData\param2 (" 実行中 " ) (" 停止 " ) イベント ID : 1 (Process Create) Image : "[ 検体 (wce.exe)]" Image : "C:\Windows\System32\wbem\WMIC.exe" プロセスの開始終了日時(UTC) : プロセスのコマンドライン : 実行ユーザ名 : プロセスID : UtcTime CommandLine User ProcessId イベントID : 8 (CreateRemoteThread detected) SourceImage :"[ 検体 (wce.exe)]" TargetImage : ("C:\Windows\System32\lsass.exe" ) プロセスの開始日時(UTC): UtcTime イベント ID : 9 (RawAccessRead detected) Image : "C:\Windows\System32\cmd.exe" プロセスの開始日時(UTC): UtcTime アクセス先: Device レジストリファイル名 : C:\Windows\\[ 検体 (WCE.EXE)][ 文字列 ].pf C:\Windows\\WMIC.EXEA7D06383.pf ( を利用して下記を確認できる :WinView) 最終実行日時 : Last Run Time 42

44 passthehash, passtheticket > WCE ( リモートログイン ) イベント ID : 5156 (Windows フィルターリングプラットフォームで接続が許可されました ) アプリケーション情報 > アプリケーション名 : ("\device\harddiskvolume 2 \windows\system32\svchost.exe") ネットワーク情報 > 方向 : " 受信 " 接続元ホスト: 宛先アドレス接続元ポート: 宛先ポートイベントID : 4624 ( アカウントが正常にログオンしました ) 4634 ( アカウントがログオフしました ) プロセスの開始日時: 接続元アカウント名: 新しいログオン > アカウント名ドメイン名接続元: ネットワーク情報 > ソースネットワークアドレスイベント ID : 4688 ( 新しいプロセスが作成されました ) プロセス情報 > プロセス名 : "C:\Windows\System32\wbem\WmiPrvSE.exe" 管理者ユーザー管理者ユーザー ( 続 ) 接続先 (Windows) プロセスの開始終了日時 : プロセスを実行したユーザー名 : サブジェクト > アカウント名プロセスを実行したユーザーのドメイン : サブジェクト > アカウントドメインプロセス実行時の権限昇格の有無 : プロセス情報 > トークン昇格の種類プロセスの戻り値 : プロセス情報 > 終了状態親プロセス ID: プロセス情報 > クリエータープロセス ID イベント ID : 1 (Process Create) Image : "C:\Windows\System32\wbem\WmiPrvSE.exe" プロセスの開始終了日時(UTC) : プロセスのコマンドライン : 実行ユーザ名 : プロセスID : UtcTime CommandLine User ProcessId イベント ID : 9 (RawAccessRead detected) Image : "C:\Windows\System32\wbem\WmiPrvSE.exe" プロセスの開始日時(UTC): UtcTime アクセス先: Device ファイル名 : C:\Windows\\WMIPRVSE.EXE C.pf ( を利用して下記を確認できる :WinView) 最終実行日時 : Last Run Time 記載のもの以外で出力される可能性のある 43

45 passthehash, passtheticket > Mimikatz ( リモートログイン ) Mimikatz ( リモートログイン ) 動作条件ログから得られる情報名称カテゴリ概要攻撃時における想定利用例権限対象 OS ドメインへの参加通信プロトコルサービス標準設定実行成功時に確認できる痕跡 Mimikatz ( リモートログイン ) passthehash, passtheticket 取得したパスワードのハッシュを利用し他ユーザーの権限でコマンドを実行する管理者ユーザー権限のハッシュを利用し他端末にリモートでコマンド実行を行う接続元: Mimikatz 実行元接続先: Mimikatzによってログインされた先接続元 : 管理者ユーザー接続先 : ハッシュを利用されたユーザーの権限 Windows 不要ランダムな5 桁のポート (WMIC) Windows Management Instrumentation () リモート接続時の通信の発生ログ接続が発生した過程のログ接続先: に以下のログがある場合リモートからログインされていると考えられるにイベントID 4624が記録され意図しない接続元からアクセスされているイベントID : 4688 ( 新しいプロセスが作成されました ) プロセス情報 > プロセス名 : "[ 検体 (mimikatz.exe)]" "C:\Windows\System32\cmd.exe" "C:\Windows\System32\wbem\WMIC.exe" プロセスの開始終了日時 : プロセスを実行したユーザー名 : サブジェクト > アカウント名プロセスを実行したユーザーのドメイン : サブジェクト > アカウントドメインプロセス実行時の権限昇格の有無 : プロセス情報 > トークン昇格の種類プロセスの戻り値 : プロセス情報 > 終了状態イベント ID : 5156 (Windows フィルターリングプラットフォームで接続が許可されました ) アプリケーション情報 > アプリケーション名 : "C:\Windows\System32\wbem\WMIC.exe" ネットワーク情報 > 方向 : " 送信 " 接続元ポート: ソースポート接続先ホスト: 宛先アドレス接続先ポート: 宛先ポート (5 桁のポートとなる ) 接続元イベント ID : 4648 ( 明示的な資格情報を使用してログオンが試行されました ) プロセス情報 > プロセス名 : "C:\Windows\System32\wbem\WMIC.exe" プロセスの開始日時: 接続先端末においてプロセスを実行したアカウント名: 資格情報が使用されたアカウント > アカウント名ドメイン名接続先: ターゲットサーバー > ターゲットサーバー名管理者ユーザーユーザーイベントID : 1 (Process Create) Image : "C:\Windows\System32\at.exe" "C:\Windows\System32\cmd.exe" "C:\Windows\System32\wbem\WMIC.exe" プロセスの開始終了日時(UTC) : UtcTime プロセスのコマンドライン : CommandLine 実行ユーザ名 : User プロセスID : ProcessId レジストリファイル名 : C:\Windows\\CMD.EXE4A81B364.pf C:\Windows\\[ 検体 (MIMIKATZ.EXE)][ 文字列 ].pf C:\Windows\\WMIC.EXEA7D06383.pf ( を利用して下記を確認できる :WinView) 最終実行日時 : Last Run Time イベント ID : 4624 ( アカウントが正常にログオンしました ) ログオンタイプ : "3" プロセスの開始日時: 接続元アカウント名: 新しいログオン > アカウント名ドメイン名接続元: ネットワーク情報 > ソースネットワークアドレスイベントID : 5156 (Windows フィルターリングプラットフォームで接続が許可されました ) アプリケーション情報 > アプリケーション名 : "\device\harddiskvolume 2 \windows\system32\svchost.exe" ネットワーク情報 > 方向 : " 受信 " 接続先接続元ホスト: 宛先アドレス接続元ポート: 宛先ポート接続元ホストにおけるソースポートと一致する接続先ポート: ソースポート接続元ホストにおける宛先ポートと一致するイベント ID : 1 (Process Create) Image : "C:\Windows\System32\wbem\WmiPrvSE.exe" プロセスの開始日時(UTC): UtcTime プロセスID: ProcessId レジストリファイル名 : C:\Windows\\WMIPRVSE.EXE C.pf ( を利用して下記を確認できる :WinView) 最終実行日時 : Last Run Time 記載のもの以外で出力される可能性のある 44

46 SYSTEM 権限に昇格 > MS14058 Exploit MS14058 Exploit 動作条件ログから得られる情報名称カテゴリ概要攻撃時における想定利用例権限対象 OS ドメインへの参加通信プロトコルサービス標準設定実行成功時に確認できる痕跡 MS14058 Exploit SYSTEM 権限に昇格指定したコマンドを SYSTEM 権限で実行する本来管理者権限がなコマンドを標準権限しか持たないユーザーで実行する標準ユーザー Windows 不要 () 検体及び検体によりSYSTEM 権限で実行されたプロセスのプロセス名引数 ( プロセス追跡の監査) に以下のログがある場合権限昇格が成功していると考えられるイベント: 4688においてSYSTEM 権限で実行されているプロセスにおいて親プロセスが検体やそのプロセスの親となり得ないものとなっているイベントID : 4688 ( 新しいプロセスが作成されました ) プロセス情報 > プロセス名 : "[ 検体 ]" プロセスの開始終了日時 : プロセスを実行したユーザー名 : サブジェクト > アカウント名プロセスを実行したユーザのドメイン : サブジェクト > アカウントドメインプロセス実行時の権限昇格の有無 : プロセス情報 > トークン昇格の種類プロセスの戻り値 : プロセス情報 > 終了状態イベントID : 4688 ( 新しいプロセスが作成されました ) プロセス情報 > 新しいプロセス名 : "[SYSTEM 権限で実行されたプロセス ]" プロセスの開始終了日時 : プロセスを実行したユーザー名 : サブジェクト > アカウント名 ("[ コンピュータ名 ]$" ) プロセスを実行したユーザのドメイン : サブジェクト > アカウントドメインプロセス実行時の権限昇格の有無 : プロセス情報 > トークン昇格の種類プロセスの戻り値 : プロセス情報 > 終了状態端末 (Windows) イベントID : 1 (Process Create) Image : "[ 検体 ]" プロセスの開始終了日時(UTC): UtcTime プロセスのコマンドライン: CommandLine SYSTEM 権限で実行されたコマンドが引数に記録される実行ユーザー名: User プロセスID: ProcessId イベントID : 1 (Process Create) Image : "[SYSTEM 権限で実行されたプロセス ]" プロセスの開始日時(UTC): UtcTime プロセスのコマンドライン: CommandLine コマンドに対する引数が記録される実行ユーザー名: User ("NT AUTHORITY\SYSTEM" ) プロセスID: ProcessId 親プロセス名: ParentImage ("[ 検体 ]" ) 親プロセスに指定されたコマンドライン: ParentCommandLine ファイル名 : C:\Windows\\[ 検体 ][ 文字列 ].pf ( を利用して下記を確認できる :WinView) 最終実行日時 : Last Run Time 記載のもの以外で出力される可能性のある SYSTEM 権限で実行されたプロセスに関連する他のログが出力される可能性がある 45

47 SYSTEM 権限に昇格 > MS15078 Exploit MS15078 Exploit 動作条件ログから得られる情報名称カテゴリ概要攻撃時における想定利用例権限対象 OS ドメインへの参加通信プロトコルサービス標準設定実行成功時に確認できる痕跡 MS15078 Exploit SYSTEM 権限に昇格指定したコマンドを SYSTEM 権限で実行する本来管理者権限がなコマンドを標準権限しか持たないユーザーで実行する標準ユーザー Windows 本検証環境では Windows Server 2012では実行不可不要 () 検体及び検体によりSYSTEM 権限で実行されたプロセスのプロセス名引数 ( プロセス追跡の監査) に以下のログがある場合権限昇格が成功していると考えられるイベント: 4688においてSYSTEM 権限で実行されているプロセスにおいて親プロセスが検体やそのプロセスの親となり得ないものとなっているイベントID : 4688 ( 新しいプロセスが作成されました ) プロセス情報 > 新しいプロセス名 : "[ 検体 ]" プロセスの開始終了日時 : プロセスを実行したユーザー名 : サブジェクト > アカウント名プロセスを実行したユーザのドメイン : サブジェクト > アカウントドメインプロセス実行時の権限昇格の有無 : プロセス情報 > トークン昇格の種類プロセスの戻り値 : プロセス情報 > 終了状態イベントID : 4688 ( 新しいプロセスが作成されました ) プロセス情報 > 新しいプロセス名 : "[SYSTEM 権限で実行されたプロセス ]" プロセスの開始終了日時 : プロセスを実行したユーザー名 : サブジェクト > アカウント名 ("[ コンピュータ名 ]$" ) プロセスを実行したユーザのドメイン : サブジェクト > アカウントドメインプロセス実行時の権限昇格の有無 : プロセス情報 > トークン昇格の種類プロセスの戻り値 : プロセス情報 > 終了状態イベントID : 1 (Process Create) 端末 (Windows) Image : "[ 検体 ]" プロセスの開始終了日時(UTC): UtcTime プロセスのコマンドライン: CommandLine SYSTEM 権限で実行されたコマンドが引数に記録される実行ユーザー名: User プロセスID: ProcessId イベントID : 1 (Process Create) Image : "[SYSTEM 権限で実行されたプロセス ]" プロセスの開始日時(UTC): UtcTime プロセスのコマンドライン: CommandLine コマンドに対する引数が記録される実行ユーザー名: User ("NT AUTHORITY\SYSTEM" ) プロセスID: ProcessId 親プロセス名: ParentImage ("[ 検体 ]" ) 親プロセスに指定されたコマンドライン: ParentCommandLine ファイル名 : C:\Windows\\[ 検体 ][ 文字列 ].pf ( を利用して下記を確認できる :WinView) 最終実行日時: Last Run Time 記載のもの以外で出力される可能性のある SYSTEM 権限で実行されたプロセスに関連する他のログが出力される可能性がある 46

48 権限昇格 > SDB UAC Bypass SDB UAC Bypass 動作条件ログから得られる情報名称カテゴリ概要攻撃時における想定利用例参考情報権限対象 OS ドメインへの参加通信プロトコルサービス標準設定実行成功時に確認できる痕跡 SDB UAC Bypass 権限昇格アプリケーション互換データベース (SDB) を用いて本来 UACにより制御されるアプリケーションを管理者権限で実行する通常のアプリケーションを実行するように見せかけて他のアプリケーションを実行させるこの際本来は管理者権限がなアプリケーションをユーザーによる承諾を経ることなく実行できる管理者パスワードを入力することなく UACにより管理者権限を利用することが可能な権限を持つユーザー ( クライアント端末における Administratorsグループに所属するユーザ) Windows 不要 () ( 監査ポリシー) 親プロセス名に本来は親プロセスとならないことが想定されるアプリケーションを含むプロセスが開始される回避に使用するアプリケーション及び回避実行されたアプリケーションが記録される親プロセス名に本来は親プロセスとならないことが想定されるアプリケーションを含むプロセスが実行されたことが記録されている SDB ファイルがインストールされる際以下が記録されるイベントID : 4688 ( 新しいプロセスが作成されました ) プロセス情報 > プロセス名 : "C:\Windows\System32\sdbinst.exe" プロセスの開始終了日時 : プロセスを実行したユーザー名 : サブジェクト > アカウント名プロセスを実行したユーザーのドメイン : サブジェクト > アカウントドメインプロセス実行時の権限昇格の有無 : プロセス情報 > トークン昇格の種類プロセスの戻り値 : プロセス情報 > 終了状態イベントID : 4656 ( オブジェクトへのハンドルが要求されました ) 4663 ( オブジェクトへのアクセスが試行されました ) 4658 ( オブジェクトに対するハンドルが閉じました ) プロセス情報 > プロセス名 : "C:\Windows\System32\sdbinst.exe" SDBファイル: オブジェクト > オブジェクト名 (" C :\Windows\AppPatch\Custom\{[GUID]}.sdb" ) ハンドルID: オブジェクト > ハンドルID 他ログとの紐付けに使用するハンドルを要求したプロセスのプロセスID: プロセス情報 > プロセスID ( イベント4688で作成されたプロセスのIDと一致する ) 処理内容: アクセス要求情報 > アクセスアクセス理由 ("WriteData ( または AddFile)" "AppendData ( または AddSubdirectoryまたは CreatePipeInstance" ) 成否: キーワード (" 成功の監査 " ) 回避実行がされた場合以下が記録されるイベントID : 4688 ( 新しいプロセスが作成されました ) プロセス情報 > プロセス名 : "[ 回避実行されたコマンド ]" 端末 (Windows) プロセスの開始終了日時: プロセスを実行したユーザー名: サブジェクト > アカウント名プロセスを実行したユーザーのドメイン: サブジェクト > アカウントドメインプロセス実行時の権限昇格の有無: プロセス情報 > トークン昇格の種類このアプリケーションを実行した回避用に使用されたアプリケーションのプロセスID: プロセス情報 > クリエータープロセスID 回避に使用されるアプリケーションのプロセスIDと一致するプロセスの戻り値: プロセス情報 > 終了状態成功の場合は "0x0" となる失敗の場合エラーに応じて異なる値が入るコマンドプロンプト上で実行するものなど回避に使用されるアプリケーションによっては通常通りに実行しただけでは戻り値が "0x0" とならない可能性があるため場合によっては判断材料とすることが可能回避実行されたアプリケーションは必ず回避に使用されるアプリケーションより後に開始されるが終了については呼び出し方に応じて前後関係が入れ替わる可能性がある SDB ファイルがインストールされる際以下が記録されるイベントID : 1 (Process Create) Image : "C:\Windows\System32\sdbinst.exe" プロセスの開始終了日時(UTC) : プロセスのコマンドライン : 利用されたSDBファイル : 実行ユーザ名 : プロセスID : UtcTime CommandLine CommandLine User ProcessId 回避実行がされた場合以下が記録されるイベント ID : 1 (Process Create) Image : "[ 回避実行されたコマンド ]" プロセスの開始日時(UTC): UtcTime プロセスのコマンドライン: CommandLine 実行ユーザ名: User プロセスID: ProcessId 親プロセス名: ParentImage SDB 内で指定されているアプリケーション本来は本プロセスの親とならないことが想定されるアプリケーションが本プロセスの親となる親プロセスID: ParentProcessId 先に実行された SDB 内で指定されているアプリケーションのプロセスIDと一致するこのプロセスがバッチなどのスクリプト系ファイルであった場合このプロセスが親プロセスとなって更に子プロセスが実行される順番にプロセス ID を追跡することで実行されたアプリケーションのプロセスツリーを確認することが可能アプリケーションとサービスログ \Microsoft\Windows \Application Experience \ProgramTelemetry イベント ID : 500 ( 互換性修正プログラムが適用されています ) 適用されたプログラム: 詳細タブ > UserData\CompatibilityFixEvent\ExePath 修正プログラム: 詳細タブ > UserData\CompatibilityFixEvent\FixName 47

49 権限昇格 > SDB UAC Bypass ファイル名 : C:\Windows\\SDBINST.EXE5CC2F88B.pf ( を利用して下記を確認できる :WinView) 最終実行日時 : Last Run Time 備考上記の他に回避に使用されたアプリケーション及び実行されたアプリケーションにおける最終実行日時が変化するレジストリエントリ : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{[GUID]}.sdb SDBの内容: DisplayName ( 回避に使用されるアプリケーション名が入る ) 削除コマンド: UninstallString ("%windir%\system32\sdbinst.exe u "C:\Windows\AppPatch\Custom\{[GUID]}.sdb" ) ( 続 ) 端末 (Windows) ( 続 ) レジストリレジストリエントリ : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Custom\ {[UAC 回避に使用されるアプリケーション名 ]} SDBをインストールしたタイムスタンプ: DatabaseInstallTimeStamp (16 進数の値となる ) レジストリエントリ : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\InstalledSDB\{[GUID]} SDBファイルのパス: DatabasePath ("C:\Windows\AppPatch\Custom\{[GUID]}.sdb" ) SDBの種類: DatabaseType SDBの内容: DatabaseDescription ( 回避に使用されるアプリケーション名が入る ) SDBをインストールしたタイムスタンプ: DatabaseInstallTimeStamp (16 進数の値上記 "Custom" 配下の値と同じ ) 備考上記レジストリの値は SDBファイルをアンインストールすると削除されるため必ずしも残存するとは限らない痕跡削除として SDBファイルをアンインストールする検体が確認されている記載のもの以外で出力される可能性のある上記以外に回避に使用されるアプリケーション及び回避実行されたアプリケーションによるログが記録される可能性がある 48

50 ドメイン管理者権限アカウントの奪取 > MS14068 Exploit MS14068 Exploit 動作条件ログから得られる情報名称カテゴリ概要攻撃時における想定利用例権限対象 OS ドメインへの参加通信プロトコルサービス標準設定実行成功時に確認できる痕跡 MS14068 Exploit ドメイン管理者権限アカウントの奪取ドメインユーザーの権限を他のユーザーに変更する入手したドメインユーザのアカウントを用いて管理者になりすまし権限がな操作をおこなう ( 検証では Exploitを使用してアカウントのTGTチケットを入手し mimikatzを利用してリモートログインしている ) 接続元: Exploit 実行元接続先 : 取得されたチケットによってリモートログインされた端末標準ユーザー Windows 要 88/tcp, 445/tcp Active Directory Domain Services 接続元: () 接続元: ( 監査ポリシー) 接続先: 本来の権限以上の特権が他のアカウントに対して認可されていること ( 監査ポリシー ) 接続先: のイベントID 4672において標準ユーザーに対して上位の特権が認可されているチケットの生成に際し以下のプロセスが実行されるイベント ID : 4688 ( 新しいプロセスが作成されました ) プロセス情報 > プロセス名 : "[ 検体 (ms14068.exe)]" プロセスの開始終了日時 : プロセスを実行したユーザー名 : サブジェクト > アカウント名プロセスを実行したユーザーのドメイン : サブジェクト > アカウントドメインプロセス実行時の権限昇格の有無 : プロセス情報 > トークン昇格の種類プロセスの戻り値 : プロセス情報 > 終了状態イベント ID : 5156 (Windows フィルターリングプラットフォームで接続が許可されました ) アプリケーション情報 > アプリケーション名 : "\\device\harddiskvolume 2 \[ 検体 (ms14068.exe)]" アプリケーション情報 > プロセス ID : "[ イベント 4688 で記録されたプロセス ID]" ネットワーク情報 > 方向 : " 送信 " ネットワーク情報 > 宛先アドレス : "[ ドメインコントローラの IP アドレス ]" ネットワーク情報 > 宛先ポートプロトコル : "88" "6" (TCP) 接続元ポート: ソースポートドメインコントローラ側ログとの紐付けに使用する取得したチケットを使用する際に以下のプロセスが実行されるイベント ID : 4688 ( 新しいプロセスが作成されました ) プロセス情報 > プロセス名 : "[ 検体 (mimikatz.exe)]" ユーザー Server 管理者ユーザー接続元プロセスの開始終了日時 : プロセスを実行したユーザー名 : サブジェクト > アカウント名プロセスを実行したユーザーのドメイン : サブジェクト > アカウントドメインプロセス実行時の権限昇格の有無 : プロセス情報 > トークン昇格の種類プロセスの戻り値 : プロセス情報 > 終了状態イベントID : 4656 ( オブジェクトへのハンドルが要求されました ) 4663 ( オブジェクトへのアクセスが試行されました ) 4658 ( オブジェクトに対するハンドルが閉じました ) プロセス情報 > プロセス名 : "[ 検体 (ms14068.exe)]" 対象のファイル: オブジェクト > オブジェクト名ハンドルID: オブジェクト > ハンドルID 他ログとの紐付けに使用する処理内容: アクセス要求情報 > アクセス ("WriteData ( またはAddFile)" "AppendData ( またはAddSubdirectoryまたは成否: キーワード (" 成功の監査 " ) イベントID : 5156 (Windows フィルターリングプラットフォームで接続が許可されました ) アプリケーション情報 > アプリケーション名 : "System" ネットワーク情報 > 方向 : " 送信 " ネットワーク情報 > 宛先アドレス : "[ ドメインコントローラのIPアドレス ]" ネットワーク情報 > 宛先ポートプロトコル : "445" "6" (TCP) 接続元ポート: ソースポートドメインコントローラ側ログとの紐付けに使用するイベントID : 5156 (Windows フィルターリングプラットフォームで接続が許可されました ) アプリケーション情報 > アプリケーション名 : "[\device\harddiskvolume 2 \windows\system32\lsass.exe" ネットワーク情報 > 方向 : " 送信 " ネットワーク情報 > 宛先アドレス : "[ ドメインコントローラのIPアドレス ]" ネットワーク情報 > 宛先ポートプロトコル : "88" "6" (TCP) 接続元ポート : ソースポートドメインコントローラ側ログとの紐付けに使用する mimikatz.exe の場合取得したチケットを使用する際に特権利用 ( 失敗 ) が発生する ( 管理者権限で実行している場合は発生しない ) イベントID : 4673 ( 特権のあるサービスが呼び出されました ) プロセス情報 > プロセス名 : "[ 検体 (mimikatz.exe)]" プロセス情報 > プロセスID : "[ 検体のプロセスID]" サービス要求情報 > 特権 : "SeTcbPrivilege" キーワード : " 失敗の監査 " 上記の動作を試みたアカウント: アカウント名 49

51 ドメイン管理者権限アカウントの奪取 > MS14068 Exploit イベントID : 1 (Process Create) Image : "[ 検体 (ms14068.exe)]" 接続元 ( 続 ) プロセスの開始終了日時(UTC) : プロセスのコマンドライン : 実行ユーザ名 : プロセスID : イベントID : 1 (Process Create) Image : "[ 検体 (mimikatz.exe)]" UtcTime CommandLine User ProcessId プロセスの開始終了日時(UTC) : プロセスのコマンドライン : 実行ユーザ名 : プロセスID : UtcTime CommandLine User ProcessId ファイル名 : C:\Windows\\[ 検体 (MS14068.EXE)][ 文字列 ].pf C:\Windows\\[ 検体 (MIMIKATZ.EXE)][ 文字列 ].pf ( を利用して下記を確認できる :WinView) 最終実行日時 : Last Run Time チケットの生成に際し以下の通信認証が発生するイベントID : 5156 (Windows フィルターリングプラットフォームで接続が許可されました ) アプリケーション情報 > アプリケーション名 : "[\device\harddiskvolume 2 \windows\system32\lsass.exe" アプリケーション情報 > プロセスID : "[ イベント 4688 で記録されたプロセスID]" ネットワーク情報 > 方向 : " 送信 " ネットワーク情報 > 宛先アドレス : "[ ドメインコントローラのIPアドレス ]" ネットワーク情報 > 宛先ポートプロトコル : "88" "6" (TCP) 接続元ポート : ソースポートドメインコントローラ側ログとの紐付けに使用するイベント ID : 4768 (Kerberos 認証チケット (TGT) が要求されました ) サービス情報 > サービス名 : "krbtgt" 追加情報 > チケットオプション : "0x " 実行アカウント: アカウント情報 > アカウント名接続元ホスト: ネットワーク情報 > クライアントアドレス接続元ポート: ネットワーク情報 > クライアントポートユーザー Server 管理者ユーザー ( 続 ) イベント ID : 4769 (Kerberos サービスチケットが要求されました ) サービス情報 > サービス名 : "krbtgt" 追加情報 > チケットオプション : "0x " 実行アカウント: アカウント情報 > アカウント名アカウントドメイン接続元ホスト: ネットワーク情報 > クライアントアドレス接続元ポート: ネットワーク情報 > クライアントポート取得したチケットを使用する際に以下の通信が発生する接続先イベントID : 5156 (Windows フィルターリングプラットフォームで接続が許可されました ) アプリケーション情報 > アプリケーション名 : "System" アプリケーション情報 > プロセスID : "[ イベント 4688 で記録されたプロセスID]" ネットワーク情報 > 方向 : " 送信 " ネットワーク情報 > 宛先アドレス : "[ ドメインコントローラのIPアドレス ]" ネットワーク情報 > 宛先ポートプロトコル : "445" "6" (TCP) 接続元ポート : ソースポートドメインコントローラ側ログとの紐付けに使用するイベントID : 5156 (Windows フィルターリングプラットフォームで接続が許可されました ) アプリケーション情報 > アプリケーション名 : "[\device\harddiskvolume 2 \windows\system32\lsass.exe" アプリケーション情報 > プロセスID : "[ イベント 4688 で記録されたプロセスID]" ネットワーク情報 > 方向 : " 送信 " ネットワーク情報 > 宛先アドレス : "[ ドメインコントローラのIPアドレス ]" ネットワーク情報 > 宛先ポートプロトコル : "88" "6" (TCP) 接続元ポート : ソースポートドメインコントローラ側ログとの紐付けに使用するイベント ID : 4769 (Kerberos サービスチケットが要求されました ) クライアントIPアドレス: ネットワーク情報 > クライアントアドレスチケット要求の種類( 異なる組のものが2つ出力される ) サービス情報 : "[ ホスト名 ]$" チケットオプション : "0x " サービス情報 : "krbtgt" チケットオプション : "0x " イベント ID : 4672 ( 新しいログオンに特権が割り当てられました ) 権限が昇格したアカウント: サブジェクト > アカウント名アカウントドメイン利用可能な特権: 特権 ("SeSecurityPrivilege" "SeRestorePrivilege" "SeTakeOwnershipPrivilege" "SeDebugPrivilege" "SeSystemEnvironmentPrivilege" "SeLoadDriverPrivilege" "SeImpersonatePrivilege" "SeEnableDelegationPrivilege" ) イベントID : 4624 ( アカウントが正常にログオンしました ) ログオンタイプ : "3" 使用されたID: 新しいログオン > ID 使用されたIDとアカウントが異なる場合この値は奪取されたアカウントのIDとなるアカウント: アカウント名アカウントドメインログオンを要求したホスト: ネットワーク情報 > ソースネットワークアドレス記載のもの以外で出力される可能性のある昇格した権限を用いて実行されたコマンドのログが接続先に記録される可能性がある 50

52 ドメイン管理者権限アカウントの奪取 > Mimikatz (Golden Ticket) Mimikatz (Golden Ticket) 動作条件ログから得られる情報名称カテゴリ概要攻撃時における想定利用例権限対象 OS ドメインへの参加通信プロトコルサービス標準設定実行成功時に確認できる痕跡 Mimikatz (Golden Ticket) ドメイン管理者権限アカウントの奪取不正な任意の期間で有効なKerberosチケットを発行し再度の認証経ることなく接続を認可させる認証要求の記録を隠蔽するホストに対して Golden Ticketを用いて接続を認可させる接続元: Mimikatz 実行元接続先: Mimikatzによってログインされた先標準ユーザードメイン上のkrbtgtアカウントの NTLMパスワードハッシュを取得済みであること Windows 不要 Active Directory Domain Service 接続元: () 接続元: ( 監査ポリシー) アクセス履歴 ( RawAccessRead 監査ポリシー重要な特権の使用 ) 接続先: 不正なドメインを持つアカウントによるログオン接続先 : に以下のログがある場合不正ログオンが実行されていると考えられるのイベント ID で不正なドメインを持つアカウントによるログオンが記録されているイベント ID : 4688 ( 新しいプロセスが作成されました ) プロセス情報 > プロセス名 : "[ 検体 (mimikatz.exe)]" プロセスの開始終了日時: プロセスを実行したユーザー名: サブジェクト > アカウント名プロセスを実行したユーザーのドメイン: サブジェクト > アカウントドメインプロセス実行時の権限昇格の有無: プロセス情報 > トークン昇格の種類プロセスの戻り値: プロセス情報 > 終了状態イベント ID : 4673 ( 特権のあるサービスが呼び出されました ) プロセス情報 > プロセス名 : "[ 検体 (mimikatz.exe)]" プロセス情報 > プロセス ID : "[ 検体のプロセス ID]" サービス要求情報 > 特権 : "SeTcbPrivilege" キーワード : " 失敗の監査 " 上記の動作を試みたアカウント : アカウント名 ( 標準ユーザー ) イベントID : 4663 ( オブジェクトへのアクセスが試行されました ) 4656 ( オブジェクトへのハンドルが要求されました ) 4658 ( オブジェクトに対するハンドルが閉じました ) プロセス情報 > プロセス名 : "[ 検体 (mimikatz.exe)]" 接続元対象のファイル: オブジェクト > オブジェクト名ハンドルID: オブジェクト > ハンドルID 他ログとの紐付けに使用する処理内容: アクセス要求情報 > アクセス ("WriteData ( またはAddFile)" "AppendData ( またはAddSubdirectory またはCreatePipeInstance)" ) 成否: キーワード (" 成功の監査 " ) イベント ID : 1 (Process Create) Image : "[ 検体 (mimikatz.exe)]" ユーザー Server 管理者ユーザープロセスの開始終了日時 (UTC): UtcTime プロセスのコマンドライン : CommandLine 実行ユーザー名 : User プロセス ID: ProcessId イベントID : 9 (RawAccessRead detected) Process : イベント1で記録された ProcessId Image : "[ 検体 (mimikatz.exe)]" Device : "\Device\HarddiskVolume 2 " ファイル名 : C:\Windows\\[ 実行ファイル (MIMIKATZ.EXE)][ 文字列 ].pf ( を利用して下記を確認できる :WinView) 最終実行日時: Last Run Time イベント ID : 4769 (Kerberos サービスチケットの操作 ) クライアントIPアドレス: ネットワーク情報 > クライアントアドレスチケット要求の種類( 異なる組のものが2つ出力される ) サービス情報 : "[ ホスト名 ]$" チケットオプション : "0x " サービス情報 : "krbtgt" チケットオプション : "0x " イベント ID : 4672 ( 新しいログオンに特権が割り当てられました ) 接続先 Golden Ticketを取得されたアカウント : アカウント ( 実在するアカウント名 ) ドメイン: アカウントドメイン ( 不正な値となる ) ログオンID: ログオンID 他ログとの紐付けに使用利用可能な特権: 特権イベント ID : 4624 ( アカウントが正常にログオンしました ) ログオンタイプ : "3" 新しいログオン > アカウント名アカウントドメイン : "[ イベント 4672 で記録されたアカウント名アカウントドメイン ]" 新しいログオン > ログオン ID : "[ イベント 4672 で記録されたログオン ID ]" 使用された ID: 新しいログオン > ID 認証情報を使用した端末 : ネットワーク情報 > ソースネットワークアドレスイベントID : 4634 ( ログオフ ) ログオンタイプ : "3" 新しいログオン > アカウント名アカウントドメイン : "[ イベント 4672 で記録されたアカウント名アカウントドメイン ]" 新しいログオン > ログオンID : "[ イベント 4672 で記録されたログオンID ]" 記載のもの以外で出力される可能性のある Golden Ticket を用いてアクセスが認可されたホストにおいて実行されたコマンドに関連するログが出力される可能性がある 51

53 ドメイン管理者権限アカウントの奪取 > Mimikatz (Silver Ticket) Mimikatz (Silver Ticket) 動作条件ログから得られる情報名称カテゴリ概要攻撃時における想定利用例権限対象 OS ドメインへの参加通信プロトコルサービス標準設定実行成功時に確認できる痕跡 Mimikatz (Silver Ticket) ドメイン管理者権限アカウントの奪取不正な任意の期間で有効なKerberosチケットを発行し再度の認証を経ることなく接続を認可させる認証要求の記録を隠蔽するホストに対して Silver Ticketを用いて接続を認可させる接続元: Mimikatz 実行元接続先: Mimikatzによってログインされた先標準ユーザードメイン上のサービスアカウントの NTLMパスワードハッシュを取得済みであること Windows 不要 Active Directory Domain Services 接続元: () 接続元: ( 監査ポリシー) 接続先: 不正なドメインを持つアカウントによるログオン接続先: に以下のログがある場合不正ログオンが実行されていると考えられるのイベントID で不正なドメインを持つアカウントによるログオンが記録されているイベント ID : 4688 ( 新しいプロセスが作成されました ) プロセス情報 > プロセス名 : "[ 検体 (mimikatz.exe)]" プロセスの開始終了日時: プロセスを実行したユーザー名: サブジェクト > アカウント名プロセスを実行したユーザーのドメイン: サブジェクト > アカウントドメインプロセス実行時の権限昇格の有無: プロセス情報 > トークン昇格の種類プロセスの戻り値: プロセス情報 > 終了状態イベント ID : 4673 ( 特権のあるサービスが呼び出されました ) プロセス情報 > プロセス名 : "[ 検体 (mimikatz.exe)]" プロセス情報 > プロセス ID : "[ 検体のプロセス ID]" サービス要求情報 > 特権 : "SeTcbPrivilege" キーワード : " 失敗の監査 " 上記の動作を試みたアカウント: アカウント名 ( 標準ユーザー ) 接続元イベント ID : 1 (Process Create) Image : "[ 検体 (mimikatz.exe)]" プロセスの開始終了日時 (UTC): UtcTime プロセスのコマンドライン : CommandLine 実行ユーザー名 : User プロセス ID: ProcessId ユーザー Server サービスアカウントイベントID : 9 (RawAccessRead detected) Process : イベント1で記録された ProcessId Image : "[ 検体 (mimikatz.exe)]" Device : "\Device\HarddiskVolume 2 " ファイル名 : C:\Windows\\[ 実行ファイル (MIMIKATZ.EXE)][ 文字列 ].pf ( を利用して下記を確認できる :WinView) 最終実行日時 : Last Run Time Golden Ticketとは異なりチケット生成時にドメインコントローラへの通信は発生しない以下はチケットを用いて通信が着信した際のログイベントID : 4672 ( 新しいログオンに特権が割り当てられました ) 特権 : "SeSecurityPrivilege" "SeBackupPrivilege" "SeRestorePrivilege" "SeTakeOwnershipPrivilege" "SeDebugPrivilege" "SeSystemEnvironmentPrivilege" "SeLoadDriverPrivilege" "SeImpersonatePrivilege" "SeEnableDelegationPrivilege" 接続先奪取されたアカウント名: アカウント ( 実在するアカウント名 ) ドメイン: アカウントドメイン ( 不正な値となる ) ログオンID: ログオンID 他ログとの紐付けに使用利用可能な特権: 特権イベントID : 4624 ( アカウントが正常にログオンしました ) ログオンタイプ : "3" 新しいログオン > アカウント名アカウントドメイン : "[ イベント 4672 で記録されたアカウント名アカウントドメイン ]" 新しいログオン > ログオンID : "[ イベント 4672 で記録されたログオンID ]" 使用されたID: 新しいログオン > ID 認証情報を使用した端末: ネットワーク情報 > ソースネットワークアドレスイベントID : 4634 ( ログオフ ) ログオンタイプ : "3" 新しいログオン > アカウント名アカウントドメイン : "[ イベント 4672 で記録されたアカウント名アカウントドメイン ]" 新しいログオン > ログオンID : "[ イベント 4672 で記録されたログオンID ]" 記載のもの以外で出力される可能性のある Silver Ticket を用いてアクセスが認可されたホストにおいて実行されたコマンドに関連するログが出力される可能性がある 52

54 Active Directory データベースの取得 > ntdsutil ntdsutil 動作条件ログから得られる情報名称カテゴリ概要攻撃時における想定利用例権限対象 OS ドメインへの参加通信プロトコルサービス標準設定実行成功時に確認できる痕跡 ntdsutil Active Directory データベースの取得 Active Directory データベースを保守するコマンド NTDS のデータベースである NTDS.DIT を抽出し他のを用いてパスワードを解析する (Active Directory で実行 ) 管理者ユーザー Windows Server 要 Active Directory Domain Services サービスの開始ストレージデバイスに対するドライバのインストールが発生したことシャドウコピーを作成した履歴 ( 監査ポリシー) 以下が確認できた場合情報収集が行われている可能性がある ntdsutil.exeが実行されに以下のログがある場合にイベントID: 8222が記録されているオブジェクト "[ システムドライブ ]\SNAP_[ 日時 ]_VOLUME[ ドライブレター ]$" に対するハンドルの要求が成功しているさらに通常は読み出せない C:\Windows\NTDS 配下のファイルをコピーしたログ ( イベントID: 4663) が記録されている場合シャドウコピーを利用されている可能性があるイベント ID : 4688 ( 新しいプロセスが作成されました ) プロセス情報 > プロセス名 : "C:\Windows\System32\ntdsutil.exe" プロセスの開始終了日時 : プロセスを実行したユーザー名 : サブジェクト > アカウント名プロセスを実行したユーザーのドメイン : サブジェクト > アカウントドメインプロセスID: プロセス情報 > 新しいプロセスID プロセス実行時の権限昇格の有無 : プロセス情報 > トークン昇格の種類プロセスの戻り値 : プロセス情報 > 終了状態イベントID : 4673 ( 特権のあるサービスが呼び出されました ) プロセス > プロセス名 : "C:\Windows\explorer.exe" 使用されている特権: サービス要求情報 > 特権 ("SeTcbPrivilege" ) イベント ID : 8222 ( シャドウコピーが作成されました ) シャドウコピー名 : シャドウデバイス名本ログはせずとも記録されるイベント ID : 4656 ( オブジェクトに対するハンドルが要求されました ) プロセス情報 > プロセス名 : "C:\Windows\System32\VSSVC.exe" マウントポイント: オブジェクト > オブジェクト名 ("C\SNAP_[ 日時 ]_VOLUME[C]$" ) 成否: キーワード (" 成功の監査 " ) Active Directory ドメインコントローラ備考通常は読み出せない C:\Windows\NTDS 配下のファイルをコピーしたログ ( イベント4663) が成功していた場合アクセスが成功していたと考えられるなおイベント4663の出力にはオブジェクトアクセスの監査がイベント ID : 1 (Process Create) Image : "C:\Windows\System32\ntdsutil.exe" プロセスの開始終了日時(UTC) : UtcTime プロセスのコマンドライン : CommandLine 実行ユーザ名 : User プロセスID : ProcessId システムイベントID : 7036 詳細タブ > EventData\param1 が以下のいずれかとなっているサービスの開始が記録される可能性がある "Volume Shadow Copy" "Microsoft Software Shadow Copy Provider" "Windows Modules Installer" 各サービスが既に実行中の場合ログは出力されないイベント ID : 詳細タブ > System\Provider\Name が "MicrosoftWindowsUserPnp" となっているプロセスID: System\Execution\ProcessID ログ中に出力される drvinst.exeのプロセスidと一致するスナップショット名: UserData\InstallDeviceID\DeviceInstanceID 一度同様のスナップショットをマウントしたことがある場合出力されない可能性があるレジストリレジストリエントリ : HKEY_LOCAL_MACHINE\CurrentControlSet\Enum\STORAGE\VolumeSnapshot\HarddiskVolumeSnapshot[Snapshot 番号 ] drvinst.exeが実行された場合新規にキーが作成される記載のもの以外で出力される可能性のある volsnap.inf にドライバのインストールが行われたことが差分として残る可能性がある ( 一度同様のスナップショットをマウントしたことがある場合出力されない可能性がある ) 53

55 Active Directory データベースの取得 > vssadmin vssadmin 動作条件ログから得られる情報名称カテゴリ概要攻撃時における想定利用例権限対象 OS ドメインへの参加通信プロトコルサービス標準設定実行成功時に確認できる痕跡 vssadmin Active Directory データベースの取得 Volume Shadow Copy を作成し NTDS.DIT を抽出する NTDS のデータベースである NTDS.DIT を抽出し他のを用いてパスワードを解析する (Active Directory で実行 ) 管理者ユーザー Windows Server 要 Active Directory Domain Services サービスの開始ストレージデバイスに対するドライバのインストールが発生したことシャドウコピーを作成した履歴 ( 監査ポリシー) に以下のログがある場合シャドウコピーが作成されたと考えられるにイベントID: 8222が記録されているさらに通常は読み出せない C:\Windows\NTDS 配下のファイルをコピーしたログ ( イベントID: 4663) が記録されている場合シャドウコピーを利用されている可能性があるイベントID : 4688 ( 新しいプロセスが作成されました ) プロセス情報 > プロセス名 : "C:\Windows\System32\vssadmin.exe" イベント ID : 8222 ( シャドウコピーが作成されました ) シャドウコピー名: シャドウデバイス名プロセスの開始終了日時 : プロセスを実行したユーザー名 : サブジェクト > アカウント名プロセスを実行したユーザーのドメイン : サブジェクト > アカウントドメインプロセスID: プロセス情報 > 新しいプロセスID プロセス実行時の権限昇格の有無 : プロセス情報 > トークン昇格の種類プロセスの戻り値 : プロセス情報 > 終了状態備考通常は読み出せない C:\Windows\NTDS 配下のファイルをコピーしたログ ( イベント4663) が成功していた場合アクセスが成功していたと考えられるログの出力内容はコピーに使用されたソフトウェアに依存するなおイベント4663の出力にはオブジェクトアクセスの監査が Active Directory ドメインコントローライベントID : 7036 詳細タブ > System\Provider\Name : "Service Control Manager" 詳細タブ > EventData\param1 : "Volume Shadow Copy" サービスの実行: 詳細タブ > EventData\param2 (" 実行中 " ) システム既に Volume Shadow Copy サービスが動作している場合出力されないイベントID : 詳細タブ > System\Provider\Name : "MicrosoftWindowsUserPnp" プロセスID: System\Execution\ProcessID ログ中に出力される drvinst.exeのプロセスidと一致するスナップショット名: UserData\InstallDeviceID\DeviceInstanceID 一度同様のスナップショットをマウントしたことがある場合出力されない可能性があるイベントID : 1 (Process Create) Image : "C:\Windows\System32\vssadmin.exe" プロセスの開始終了日時(UTC) : UtcTime プロセスのコマンドライン : CommandLine シャドウコピー作成対象のドライブなどが記録される実行ユーザ名 : User プロセスID : ProcessId レジストリレジストリエントリ : HKEY_LOCAL_MACHINE\CurrentControlSet\Enum\STORAGE\VolumeSnapshot\HarddiskVolumeSnapshot[Snapshot 番号 ] drvinst.exe が実行された場合新規にキーが作成される記載のもの以外で出力される可能性のある volsnap.inf にドライバのインストールが行われたことが差分として残る可能性がある ( 一度同様のスナップショットをマウントしたことがある場合出力されない可能性がある ) 54

56 ローカルユーザーの追加削除グループの追加削除 > net コマンド (net user) net user 動作条件ログから得られる情報名称カテゴリ概要攻撃時における想定利用例権限対象 OS ドメインへの参加通信プロトコルサービス標準設定実行成功時に確認できる痕跡 net コマンド (net user) ローカルユーザーの追加削除グループの追加削除端末内又はドメイン上にユーザーアカウントを追加する侵入した端末にアカウントを作成し追加のセッションを作成したり他の端末と通信したりする管理者ユーザー Windows 不要ドメインの管理者権限があればドメインコントローラ上にアカウントを作成することも可能ユーザーが追加されたことがログに記録される "net user" コマンドで指定されたユーザー名及びパスワードが記録される () に以下のログがある場合ユーザが追加されたと考えられるにイベントID 4720が記録されているイベントID : 4688 ( 新しいプロセスが作成されました ) プロセス情報 > プロセス名 : "C:\Windows\System32\net.exe" "C:\Windows\System32\net1.exe" net.exeが実行された後子プロセスとしてnet1.exeが実行されるプロセスの開始終了日時: プロセスを実行したユーザー名: サブジェクト > アカウント名プロセスを実行したユーザーのドメイン: サブジェクト > アカウントドメインプロセス実行時の権限昇格の有無: プロセス情報 > トークン昇格の種類管理者権限がなため 1 又は2となるプロセスの戻り値: プロセス情報 > 終了状態端末 (Windows) イベントID : 4656 (SAM オブジェクトに対するハンドルが要求されました ) プロセス情報 > プロセス名 : "C:\Windows\System32\lsass.exe" オブジェクト > オブジェクトの種類 : "SAM_DOMAIN" ハンドルID: オブジェクト > ハンドル ID 他ログとの関連付けに使用する要求された処理: アクセス要求情報 > アクセス ("ReadPasswordParameters" "CreateUser" "LookupIDs" ) 成否: キーワード (" 成功の監査 " ) イベント ID : 4720 ( ユーザーアカウントが作成されました ) 新しいアカウント > アカウント名 : "net user" コマンドで指定したユーザー名ユーザーのグループ: 属性 > プライマリグループ ID 実行した処理内容により異なるイベント (4722, 4724, 4726, 4737, 4738 など ) が記録されるイベントID : 1 (Process Create) Image : "C\Windows\System32\net.exe" "C:\Windows\System32\net1.exe" プロセスの開始終了日時(UTC): UtcTime プロセスのコマンドライン: CommandLine 引数内にユーザーを追加したこと (user /add) 及びユーザー名とパスワード ( 引数に渡した場合 ) が記録される実行ユーザー名: User プロセスID: ProcessId 記載のもの以外で出力される可能性のあるグループへの追加などを実施している場合それに関連するアクセス履歴が記録される 55

57 ファイル共有 > net コマンド (net use) net use 動作条件ログから得られる情報名称カテゴリ概要攻撃時における想定利用例権限対象 OS ドメインへの参加通信プロトコルサービス標準設定実行成功時に確認できる痕跡 netコマンド (net use) ファイル共有ネットワーク上で公開されている共有ポイントに接続する共有ポイントを経由して攻撃中に使用するを送り込んだりファイルサーバーから情報を取得したりする接続元: netコマンド実行元接続先: netコマンドによってアクセスされた端末標準ユーザー Windows 不要 445/tcp 接続先 : Server 接続元: Workstation 接続元: ( 監査ポリシー) 接続先: Windowsフィルターリングプラットフォームの記録は残るが具体的に接続されたパスを確認するには読み取りに対する監査が共有に対して書き込みがされた場合は書き込みに対する監査で記録される接続元: に以下のログがある場合ファイル共有が行われた可能性があるにnet.exeのイベントID が記録され実行結果 ( 戻り値 ) が "0x0" となっている接続元イベント ID : 4688 ( 新しいプロセスが作成されました ) プロセス情報 > プロセス名 : "C:\Windows\System32\net.exe" 送信元ポート: ネットワーク情報 > ソースポートプロセスの開始終了日時: プロセスを実行したユーザー名: サブジェクト > アカウント名プロセスを実行したユーザーのドメイン: サブジェクト > アカウントドメインプロセス実行時の権限昇格の有無: プロセス情報 > トークン昇格の種類プロセスの戻り値: プロセス情報 > 終了状態イベント ID : 5156 (Windows フィルターリングプラットフォームで接続が許可されました ) ネットワーク情報 > 方向 : " 送信 " ネットワーク情報 > 宛先アドレス : "[ 共有ポイントとして指定したホスト ]" ネットワーク情報 > 宛先ポートプロトコル : "445" "6" (TCP) ユーザーユーザーイベント ID : 1 (Process Create) Image : "C\Windows\System32\net.exe" プロセスの開始終了日時(UTC): UtcTime プロセスのコマンドライン: CommandLine 引数内に接続先ホストと共有パスが記録される実行ユーザー名: User プロセスID: ProcessId 接続先イベントID : 5156 (Windows フィルターリングプラットフォームで接続が許可されました ) ネットワーク情報 > 方向 : " 着信 " ネットワーク情報 > 送信元アドレス : "[ ファイルサーバのIPアドレス ]" ネットワーク情報 > ソースポートプロトコル : "445" "6" (TCP) 接続元ホスト: ネットワーク情報 > 宛先アドレス送信元ポート: ネットワーク情報 > 宛先ポート接続元における送信元ポートと一致する Active Directory ドメインコントローライベントID : 4624 ( アカウントが正常にログオンしました ) ログオンタイプ : "3" ネットワーク情報 > ソースネットワークアドレス : "[ イベント 5156 における宛先アドレス ]" ネットワーク情報 > ソースポート : "[ イベント 5156 に記録された宛先ポート ]" 使用されたユーザー: 新しいログオン > アカウント名アカウントドメイン記載のもの以外で出力される可能性のある読み取りアクセスを監査対象に含めると接続された共有パスがイベント5140( ファイルの共有 ) に記録される共有に対して書き込みが発生した場合オブジェクトアクセスの監査に記録される 56

58 ファイル共有 > net コマンド (net share) net share 動作条件ログから得られる情報名称カテゴリ概要攻撃時における想定利用例権限対象 OS ドメインへの参加通信プロトコルサービス標準設定実行成功時に確認できる痕跡 net コマンド (net share) ファイル共有特定のフォルダをネットワーク経由で利用可能となるよう共有する侵入したホスト上で共有パスを作成しファイルを読み書きする管理者ユーザー Windows 不要共有されたパスの利用はネットワーク経由でおこなうが "net share" により共有を追加する際には端末内で完結する Server レジストリ上に共有パスの情報が残る可能性があるファイル共有が無効化されると値は消去される ( 監査ポリシー) 共有されたパスと使用された共有名が記録されるに以下のログがある場合共有フォルダが作成されたと判断出来るにイベントID 5142 が記録されているイベントID : 4688 ( 新しいプロセスが作成されました ) プロセス情報 > プロセス名 : "C:\Windows\System32\net.exe" "C:\Windows\System32\net1.exe" net.exe が実行された後子プロセスとして net1.exe が実行されるプロセスの開始終了日時: プロセスを実行したユーザー名: サブジェクト > アカウント名プロセスを実行したユーザーのドメイン: サブジェクト > アカウントドメインプロセス実行時の権限昇格の有無: プロセス情報 > トークン昇格の種類管理者権限がなため 1 又は2となるプロセスの戻り値: プロセス情報 > 終了状態イベント ID : 5142 ( ネットワーク共有オブジェクトが追加されました ) 端末 (Windows) 共有名: 共有情報 > 共有名共有に使用されたフォルダ: 共有パスイベントID : 1 (Process Create) Image : "C\Windows\System32\net.exe" "C:\Windows\System32\net1.exe" プロセスの開始終了日時(UTC): UtcTime プロセスのコマンドライン: CommandLine 引数に共有名や共有に使用されたフォルダが記録される実行ユーザー名: User プロセスID: ProcessId アクセス履歴レジストリレジストリエントリ : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Shares\Security\[ 共有名 ]$ ファイル共有が有効化されると作成される ( 無効化されると値は消去される ) 共有が無効化されると値が消去されるため常時レジストリを監視するような仕組みが無ければ検知は困難記載のもの以外で出力される可能性のある 57

59 ファイル共有 > icacls icacls 動作条件ログから得られる情報名称カテゴリ概要攻撃時における想定利用例権限対象 OS ドメインへの参加通信プロトコルサービス標準設定実行成功時に確認できる痕跡 icacls ファイル共有ファイルのアクセス権を変更する使用されているアカウントで読み取れないファイルを読み取れるように権限を変更する攻撃者が作成したファイルの内容が閲覧できなくなるよう権限を剥奪する標準ユーザー ACL 変更時にはそのファイルに対する適切な権限が Windows 不要 () ( 監査ポリシー) に以下のログがある場合ファイルのアクセス権変更が行われたと考えられるにicacls.exeに対するイベントID: 4688 及び4689が記録されておりイベントID: 4689 中の終了状態が "0x0" となっているなおイベントID: からは対象ファイルが判断出来ないため対象の絞り込みにはsysmonのイベントID: 1よりicacls.exeのコマンドラインを併せて確認するがあるイベントID : 4688 ( 新しいプロセスが作成されました ) プロセス情報 > プロセス名 : "C:\Windows\System32\icacls.exe" プロセスの開始終了日時 : プロセスを実行したユーザー名 : サブジェクト > アカウント名プロセスを実行したユーザのドメイン : サブジェクト > アカウントドメインプロセス実行時の権限昇格の有無 : プロセス情報 > トークン昇格の種類プロセスの戻り値 : プロセス情報 > 終了状態端末 (Windows) イベントID : 1 (Process Create) Image : "C:\Windows\System32\icacls.exe" プロセスの開始終了日時(UTC): UtcTime プロセスのコマンドライン: CommandLine 引数内に対象ファイルと設定された権限が記録される実行ユーザー名: User プロセスID: ProcessId ファイル名 : C:\Windows\\ICACLS.EXECCAC2A58.pf ( を利用して下記を確認できる :WinView) 最終実行日時 : Last Run Time 記載のもの以外で出力される可能性のある 58

60 痕跡の削除 > sdelete sdelete 動作条件ログから得られる情報名称カテゴリ概要攻撃時における想定利用例権限対象 OS ドメインへの参加通信プロトコルサービス標準設定実行成功時に確認できる痕跡 sdelete 痕跡の削除ファイルを複数回上書きしてから削除する攻撃の過程において作成されたファイルを復元不可な状態となるように削除する標準ユーザー Windows 不要 () sdeleteを使用した際の使用許諾契約に同意した旨がレジストリに記録される過去に利用した事がある場合標準設定で得られるレジストリ情報からは判断できない ( 監査ポリシー) オブジェクトアクセスの監査による削除対象ファイルを削除上書きする動作の記録以下のような名前のファイルが繰り返し削除されている例: 削除対象が sdelete.txt の場合 sdeleaaaaaaaaaaaaaaaaaaaa.aaa sdelezzzzzzzzzzzzzzzzzzzz.zzzなどイベント ID : 4688 ( 新しいプロセスが作成されました ) プロセス情報 > プロセス名 : "[ 実行ファイル (sdelete.exe)]" イベントID : 4656 ( オブジェクトへのハンドルが要求されました ) 4663 ( オブジェクトへのアクセスが試行されました ) 4658 ( オブジェクトに対するハンドルが閉じました ) プロセス情報 > プロセス名 : "[ 実行ファイル (sdelete.exe)]" プロセスの開始終了日時: プロセスを実行したユーザー名: サブジェクト > アカウント名プロセスを実行したユーザーのドメイン: サブジェクト > アカウントドメインプロセス実行時の権限昇格の有無: プロセス情報 > トークン昇格の種類プロセスの戻り値: プロセス情報 > 終了状態端末 (Windows) 削除対象のファイル: オブジェクト > オブジェクト名上書き削除の過程で sdeleteは削除対象ファイルの名前にアルファベットを付与したファイルを作成し削除する動作を繰り返す ( 例 : 削除対象が sdelete.txt の場合 sdeleaaaaaaaaaaaaaaaaaaaa.aaaなど ) 処理内容: アクセス要求情報 > アクセス同一のオブジェクトに対して "DELETE " や "WriteDataまたはAddFile " などが繰り返される成否: キーワード (" 成功の監査 " ) イベント ID : 1 (Process Create) Image : "[ 実行ファイル (sdelete.exe)]" プロセスの開始終了日時(UTC) : プロセスのコマンドライン : 実行ユーザ名 : プロセスID : UtcTime CommandLine 実行ファイルの他上書き回数など sdelete.exeに渡されたオプションが分かる User ProcessId ファイル名 : C:\Windows\\[ 実行ファイル (SDELETE.EXE)][ 文字列 ].pf ( を利用して下記を確認できる :WinView) 最終実行日時 : Last Run Time レジストリエントリ : HKEY_USERS\[SID]\Software\Sysinternals\Sdelete 初めて利用した場合使用許諾契約に同意した旨が EulaAccepted に記録されるレジストリ過去に端末上でsdeleteを利用した事がある場合この項目からは区別できない記載のもの以外で出力される可能性のある 59

61 痕跡の削除 > timestomp timestomp 動作条件ログから得られる情報名称カテゴリ概要攻撃時における想定利用例権限対象 OS ドメインへの参加通信プロトコルサービス標準設定実行成功時に確認できる痕跡 timestomp 痕跡の削除ファイルのタイムスタンプを変更する攻撃者が利用したことでタイムスタンプに変更が発生したファイルについてタイムスタンプを戻すことでファイルに対してアクセスしたことを隠蔽する標準ユーザー Windows 不要 () ( 監査ポリシー) ファイル作成日時に対する変更の監査に以下のログがある場合タイムスタンプが変更されたと考えられるにイベントID 4663が記録されており対象ファイルに対する "WriteAttributes" のキーワードが " 成功の監査 " となっているイベント ID : 4688 ( 新しいプロセスが作成されました ) プロセス情報 > プロセス名 : "[ 検体 (timestomp.exe)]" プロセスの開始終了日時 : プロセスを実行したユーザー名 : サブジェクト > アカウント名プロセスを実行したユーザーのドメイン : サブジェクト > アカウントドメインプロセス実行時の権限昇格の有無 : プロセス情報 > トークン昇格の種類プロセスの戻り値 : プロセス情報 > 終了状態イベント ID : 4656 ( オブジェクトに対するハンドルが要求されました ) プロセス情報 > プロセス名 : "[ 検体 (timestomp.exe)]" 対象ファイル: オブジェクト > オブジェクト名ハンドルID: オブジェクト > ハンドルID 他ログとの紐付けに使用する処理内容: アクセス要求情報 > アクセス ("SYNCHRONIZE" "ReadAttributes" "WriteAttributes" ) 成否: キーワード (" 成功の監査 " ) イベントID : 4663 ( オブジェクトへのアクセスが試行されました ) プロセス情報 > プロセス名 : "[ 検体 (timestomp.exe)]" 対象ファイル: オブジェクト > オブジェクト名ハンドルID: オブジェクト > ハンドルID 他ログとの紐付けに使用する処理内容: アクセス要求情報 > アクセス ("WriteAttributes" ) 成否: キーワード (" 成功の監査 " ) イベント ID : 4658 ( オブジェクトに対するハンドルが閉じました ) プロセス情報 > プロセス名 : "[ 検体 (timestomp.exe)]" 端末 (Windows) ハンドルID: オブジェクト > ハンドルID 先に出力されるイベント 4663 及び 4656 で記録されるハンドル ID と同じイベント ID : 1 (Process Create) Image : "[ 検体 (timestomp.exe)]" プロセスの開始終了日時(UTC) : UtcTime プロセスのコマンドライン : CommandLine コマンドライン内の引数に対象ファイル変更対象のプロパティ変更後のタイムスタンプが記録される実行ユーザ名 : User イベントID : 2 (File creation time changed) Image : "[ 検体 (timestomp.exe)]" 変更が発生した日時(UTC): UtcTime 変更されたファイル名: TargetFilename 変更後のタイムスタンプ(UTC): CreationUtcTime 変更前のタイムスタンプ(UTC): PreviousCreationUtcTime イベント2 はファイル作成日時の変更を示すが変更されたタイムスタンプの種類 ( 作成変更アクセス ) に関わらず出力される作成日時以外の項目を変更した場合変更前後のタイムスタンプには同じ時間 ( 元の日時 ) が記録される作成日時以外のタイムスタンプはには記録されないイベントID : 9 (RawAccessRead detected ディスクの直接読み取りを検知 ) Image : "[ 検体 (timestomp.exe)]" 対象ファイルが存在するデバイス名: Device ("\Device\HarddiskVolume 2 " ) ファイル名 : C:\Windows\\[ 検体 (TIMESTOMP.EXE)][ 文字列 ].pf ( を利用して下記を確認できる :WinView) 最終実行日時 : Last Run Time 記載のもの以外で出力される可能性のある 60

62 の削除 > wevtutil wevtutil 動作条件ログから得られる情報名称カテゴリ概要攻撃時における想定利用例権限対象 OS ドメインへの参加通信プロトコルサービス標準設定実行成功時に確認できる痕跡 wevtutil の削除 Windowsのを削除する攻撃の痕跡を削除する接続元: wevtutilコマンド実行元接続先: wevtutilコマンドによってアクセスされた端末管理者ユーザー Windows 不要 135/tcp Event Log が消去されたことが消去されたホストの各ログに残るログ消去に使用されたアカウントと消去コマンドが実行されたホストが確認可能接続元: に以下のログがある場合ログが消去されたこと考えられる各対象のにイベントID: 104 が記録されているイベント ID : 4688 ( 新しいプロセスが作成されました ) プロセス情報 > プロセス名 : "C:\Windows\System32\wevtutil.exe" プロセスの開始終了日時 : プロセスを実行したユーザー名 : サブジェクト > アカウント名プロセスを実行したユーザーのドメイン : サブジェクト > アカウントドメインプロセス実行時の権限昇格の有無 : プロセス情報 > トークン昇格の種類プロセスの戻り値 : プロセス情報 > 終了状態接続元イベント ID : 4648 ( 明示的な資格情報を使用してログオンが試行されました ) プロセス情報 > プロセス名 : "C:\Windows\System32\wevtutil.exe" プロセス情報 > プロセス ID : イベント 4688 で記録されたプロセス ID と同じローカルアカウント: サブジェクト > アカウント名アカウントドメイン接続先で使用されたアカウント: 資格情報が使用されたアカウント > アカウント名アカウントドメイン接続先ホスト: ターゲットサーバー > ターゲットサーバー名ユーザー管理者ユーザーイベント ID : 1 (Process Create) Image : "C:\Windows\System32\wevtutil.exe" プロセスの開始終了日時(UTC) : プロセスのコマンドライン : 実行ユーザ名 : プロセスID : UtcTime CommandLine User ProcessId 各対象ログイベントID : 104 ([ 対象 ] ログファイルが消去されました ) 実行したユーザー: 詳細タブ > UserData\SubjectUserName SubjectDomainName 対象ログ名: 詳細タブ > UserData\Channel イベント ID : 4672 ( 新しいログオンに特権が割り当てられました ) 接続先権限が昇格したアカウント: サブジェクト > アカウント名アカウントドメイン利用可能な特権: 特権 ("SeSecurityPrivilege" "SeRestorePrivilege" "SeTakeOwnershipPrivilege" "SeDebugPrivilege" "SeSystemEnvironmentPrivilege" "SeLoadDriverPrivilege" "SeImpersonatePrivilege" "SeEnableDelegationPrivilege" ) イベントID : 4624 ( アカウントが正常にログオンしました ) ログオンタイプ : "3" 使用されたID: 新しいログオン > ID アカウント: アカウント名アカウントドメインログオンを要求したホスト: ネットワーク情報 > ソースネットワークアドレス記載のもの以外で出力される可能性のある 61

63 アカウント情報の取得 > csvde csvde 動作条件ログから得られる情報名称カテゴリ概要攻撃時における想定利用例権限対象 OS ドメインへの参加通信プロトコルサービス標準設定実行成功時に確認できる痕跡 csvde アカウント情報の取得 Active Directory 上のアカウント情報をCSV 形式で出力する存在するアカウントの情報を抽出し攻撃対象として利用可能なユーザーやクライアントを選択する接続元: csvdeコマンド実行元接続先: csvdeコマンドによって情報が収集された端末標準ユーザー Windows 不要正しい認証情報を入力すればドメインに参加していない端末からリモートで情報を取得することも可能 389/tcp Active Directory Domain Services 接続元: () 接続元: csvde.exeにより CSVファイルが作成されたこと CSVファイル作成時の一時ファイルとして "C:\Users\[ ユーザー名 ]\AppData\Local\Temp\csv[ ランダム数字 ].tmp" が作成されたこと接続先: 389/tcpの着信と Kerberosによるログインが記録される接続元: csvde.exeが実行されており "f" オプションで指定されたファイルが作成されている "C:\Users\[ ユーザー名 ]\AppData\Local\Temp\csv[ ランダム数字 ].tmp" が作成削除されているイベントID : 4688 ( 新しいプロセスが作成されました ) プロセス情報 > プロセス名 : "[ 実行ファイル (csvde.exe)]" プロセスの開始終了日時 : プロセスを実行したユーザー名 : サブジェクト > アカウント名プロセスを実行したユーザのドメイン : サブジェクト > アカウントドメインプロセス実行時の権限昇格の有無 : プロセス情報 > トークン昇格の種類プロセスの戻り値 : プロセス情報 > 終了状態イベント ID : 5156 (Windows フィルターリングプラットフォームで接続が許可されました ) アプリケーション情報 > アプリケーション名 : "[ 実行ファイル (csvde.exe)]" ネットワーク情報 > 方向 : " 送信 " ネットワーク情報 > 宛先アドレス : "[ ドメインコントローラの IP アドレス ]" ネットワーク情報 > 宛先ポートプロトコル : "389" "6" (TCP) 接続元ポート: ソースポートドメインコントローラ側ログとの紐付けに使用するイベントID : 4663 ( オブジェクトへのアクセスが試行されました ) 4656 ( オブジェクトへのハンドルが要求されました ) 4658 ( オブジェクトに対するハンドルが閉じました ) プロセス情報 > プロセス名 : "[ 実行ファイル (csvde.exe)]" 対象のファイル: オブジェクト > オブジェクト名 ("C:\Users\[ ユーザー名 ]\AppData\Local\Temp\ csv[ ランダム数字 ].tmp") ハンドルID( 他ログとの紐付けに使用する ): オブジェクト > ハンドルID 処理内容: アクセス要求情報 > アクセス ("SYNCHRONIZE" "WriteData ( またはAddFile)" "AppendData ( またはAddSubdirectoryまたはCreatePipeInstance) "WriteEA" 成否: キーワード (" 成功の監査 " ) 接続元イベントID : 4663 ( オブジェクトへのアクセスが試行されました ) 4656 ( オブジェクトへのハンドルが要求されました ) 4658 ( オブジェクトに対するハンドルが閉じました ) プロセス情報 > プロセス名 : "[ 実行ファイル (csvde.exe)]" オブジェクト > オブジェクト名 : "[csvde.exe 実行時に "f" オプションで指定したファイル ]" ユーザー Server ドメインユーザーハンドルID( 他ログとの紐付けに使用する ): オブジェクト > ハンドルID 処理内容: アクセス要求情報 > アクセス ("WriteDataまたはAddFile" "AppendDataまたは AddSubdirectoryまたはCreatePipeInstance" ) 成否: キーワード (" 成功の監査 " ) イベントID : 4663 ( オブジェクトへのアクセスが試行されました ) 4656 ( オブジェクトへのハンドルが要求されました ) 4658 ( オブジェクトに対するハンドルが閉じました ) プロセス情報 > プロセス名 : "[ 実行ファイル (csvde.exe)]" オブジェクト > オブジェクト名 ("C:\Users\[ ユーザー名 ]\AppData\Local\Temp\csv[ ランダム数字 ].tmp" ) ハンドルID: オブジェクト > ハンドルID 他のログとの紐付けに使用する処理内容: アクセス要求情報 > アクセス ("DELETE" ) 成否: キーワード (" 成功の監査 " ) イベントID : 1 (Process Create) Image : "[ 実行ファイル (csvde.exe)]" プロセスの開始終了日時(UTC): UtcTime プロセスのコマンドライン: CommandLine ユーザやファイル名を指定した場合引数が記録される実行ユーザー名: User プロセスID: ProcessId ファイル名 : C:\Windows\\[ 実行ファイル (CSVDE.EXE)][ 文字列 ].pf ( を利用して下記を確認できる :WinView) 最終実行日時: Last Run Time イベントID : 5156 (Windows フィルターリングプラットフォームで接続が許可されました ) アプリケーション情報 > アプリケーション名 : "\device\harddiskvolume 2 \windows\system32\lsass.exe" ネットワーク情報 > 方向 : " 着信 " ネットワーク情報 > ソースポートプロトコル : "389" "6" (TCP) ネットワーク情報 > 宛先ポート : "[csvde.exe を実行したクライアントで記録されたソースポート ]" 接続先接続元ホスト: 宛先ポートイベントID : 4624 ( アカウントが正常にログオンしました ) 4634 ( アカウントがログオフしました ) ログオンタイプ : "3" ネットワーク情報 > ソースネットワークアドレス : "[ イベント 5156 における宛先アドレス ]" ネットワーク情報 > ソースポート : "[ イベント 5156 に記録された宛先ポート ]" 使用されたユーザー: 新しいログオン > アカウント名アカウントドメイン新しいログオンID: 新しいログオン > ログオンID 他のログとの紐付けに使用する 62

64 アカウント情報の取得 > csvde 記載のもの以外で出力される可能性のある 63

65 アカウント情報の取得 > ldifde ldifde 動作条件ログから得られる情報名称カテゴリ概要攻撃時における想定利用例権限対象 OS ドメインへの参加通信プロトコルサービス標準設定実行成功時に確認できる痕跡 ldifde アカウント情報の取得 AD 上のアカウント情報をLDIF 形式で出力する存在するアカウントの情報を抽出し攻撃対象として利用可能なユーザーやクライアントを選択する接続元: ldifdeコマンド実行元接続先: ldifdeコマンドによって情報が収集された端末標準ユーザー Windows 不要正しい認証情報を入力すればドメインに参加していない端末からリモートで情報を取得することも可能 389/tcp Active Directory Domain Services 接続元: () 接続元: ldifde.exeにより LDIFファイルが作成されたことが記録される接続先: 389/tcpの着信と Kerberosによるログインが記録される接続元: ldifde.exeが実行されており "f" オプションで指定されたファイルが作成されているイベント ID : 4688 ( 新しいプロセスが作成されました ) プロセス情報 > プロセス名 : "[ 実行ファイル (ldifde.exe)]" プロセスの開始終了日時 : プロセスを実行したユーザー名 : サブジェクト > アカウント名プロセスを実行したユーザのドメイン : サブジェクト > アカウントドメインプロセス実行時の権限昇格の有無 : プロセス情報 > トークン昇格の種類プロセスの戻り値 : プロセス情報 > 終了状態イベント ID : 5156 (Windows フィルターリングプラットフォームで接続が許可されました ) アプリケーション情報 > アプリケーション名 : "[ 実行ファイル (ldifde.exe)]" ネットワーク情報 > 方向 : " 送信 " ネットワーク情報 > 宛先アドレス : "[ ドメインコントローラの IP アドレス ]" ネットワーク情報 > 宛先ポートプロトコル : "389" "6" (TCP) 接続元ポート: ソースポートドメインコントローラ側ログとの紐付けに使用する接続元イベントID : 4656 ( オブジェクトへのハンドルが要求されました ) 4663 ( オブジェクトへのアクセスが試行されました ) 4658 ( オブジェクトに対するハンドルが閉じました ) プロセス情報 > プロセス名 : "[ 実行ファイル (ldifde.exe)]" オブジェクト > オブジェクト名 : "[ldifde.exe 実行時に "f" オプションで指定したファイル ]" ハンドルID: オブジェクト > ハンドルID 他ログとの紐付けに使用する処理内容: アクセス要求情報 > アクセス ("WriteDataまたはAddFile" "AppendDataまたはAddSubdirectoryまたはCreatePipeInstance" ) 成否: キーワード (" 成功の監査 " ) ユーザー Server ドメインユーザーイベントID : 1 (Process Create) Image : "[ 実行ファイル (ldifde.exe)]" プロセスの開始終了日時(UTC) : プロセスのコマンドライン : 実行ユーザ名 : プロセスID : UtcTime CommandLine ユーザーやファイル名を指定した場合引数が記録される User ProcessId ファイル名 : C:\Windows\\[ 実行ファイル (LDIFDE.EXE)][ 文字列 ].pf ( を利用して下記を確認できる :WinView) 最終実行日時 : Last Run Time イベントID : 5156 (Windows フィルターリングプラットフォームで接続が許可されました ) アプリケーション情報 > アプリケーション名 : "\device\harddiskvolume 2 \windows\system32\lsass.exe" ネットワーク情報 > 方向 : " 着信 " ネットワーク情報 > ソースポートプロトコル : "389" "6" (TCP) ネットワーク情報 > 宛先ポート : "[ldifde.exe を実行したクライアントで記録されたソースポート ]" 接続元ホスト: 宛先ポート成否: キーワード接続先イベントID : 4624 ( アカウントが正常にログオンしました ) ログオンタイプ : "3" ネットワーク情報 > ソースネットワークアドレス : "[ イベント 5156 における宛先アドレス ]" ネットワーク情報 > ソースポート : "[ イベント 5156 に記録された宛先ポート ]" 使用されたユーザ: 新しいログオン > アカウント名アカウントドメイン新しいログオンID: 新しいログオン > ログオンID 他ログとの紐付けに使用イベントID : 4634 ( アカウントがログオフしました ) サブジェクト > アカウント名アカウントドメインログオンID : "[ イベント 4624 で記録されたものと同じ ]" 記載のもの以外で出力される可能性のある 64

66 アカウント情報の取得 > dsquery dsquery 動作条件ログから得られる情報名称カテゴリ概要攻撃時における想定利用例権限対象 OS ドメインへの参加通信プロトコルサービス標準設定実行成功時に確認できる痕跡 dsquery アカウント情報の取得ディレクトリサービスよりユーザーやグループなどの情報を取得する存在するアカウントの情報を抽出し攻撃対象として利用可能なユーザーやクライアントを選択する接続元: dsqueryコマンド実行元接続先: dsqueryコマンドによって情報が収集された端末標準ユーザー ACLの設定によって標準ユーザー権限では取得出来ない情報が存在する Windows 不要本調査はドメインコントローラ上で実施正しい認証情報を入力すればドメインに参加していない端末からリモートで情報を取得することも可能 389/tcp Active Directory Domain Services 接続元: () 接続元: ( 監査ポリシー) 接続先: 389/tcpの着信と Kerberosによるログインが記録される等では判断できない抽出したアカウント情報が保存されている場合は成功したと判断できるイベントID : 4688 ( 新しいプロセスが作成されました ) プロセス情報 > プロセス名 : "[ 実行ファイル (dsquery.exe)]" プロセスの開始終了日時 : プロセスを実行したユーザー名 : サブジェクト > アカウント名プロセスを実行したユーザのドメイン : サブジェクト > アカウントドメインプロセス実行時の権限昇格の有無 : プロセス情報 > トークン昇格の種類プロセスの戻り値 : プロセス情報 > 終了状態イベントID : 5156 (Windows フィルターリングプラットフォームで接続が許可されました ) アプリケーション情報 > アプリケーション名 : "[ 実行ファイル (dsquery.exe)]]" ネットワーク情報 > 方向 : " 送信 " ネットワーク情報 > 宛先アドレス : "[ ドメインコントローラのIPアドレス ]" ネットワーク情報 > 宛先ポートプロトコル : "389" "6" (TCP) 接続元ポート: ソースポートドメインコントローラ側ログとの紐付けに使用する接続元イベントID : 4663 ( オブジェクトへのアクセスが試行されました ) 4656 ( オブジェクトへのハンドルが要求されました ) 4658 ( オブジェクトに対するハンドルが閉じました ) プロセス情報 > プロセス名 : "[ 実行ファイル (dsquery.exe)]" オブジェクト > オブジェクト名 : "C:\Users\[ ユーザー名 ]\AppData\Local\Mirosoft\Windows\SchCache\[ ドメイン名 ].sch" ハンドルID: オブジェクト内ハンドルID 他ログとの紐付けに使用する処理内容: アクセス要求情報内アクセス ("WriteDataまたはAddFile" "AppendDataまたはAddSubdirectoryまたはCreatePipeInstance" ) 成否: キーワード (" 成功の監査 " ) ユーザー Server ユーザーイベント ID は既に有効な sch ファイルが存在する場合は出力されない可能性があるイベント ID : 1 (Process Create) Image : "[ 実行ファイル (dsquery.exe)]" プロセスの開始終了日時(UTC): UtcTime プロセスのコマンドライン: CommandLine ユーザやファイル名を指定した場合引数が記録される実行ユーザー名: User プロセスID: ProcessId ファイル名 : C:\Windows\\[ 実行ファイル (DSQUERY.EXE)][ 文字列 ].pf ( を利用して下記を確認できる :WinView) 最終実行日時: Last Run Time イベントID : 5156 (Windows フィルターリングプラットフォームで接続が許可されました ) アプリケーション情報 > アプリケーション名 : "\device\harddiskvolume 2 \windows\system32\lsass.exe" ネットワーク情報 > 方向 : " 着信 " ネットワーク情報 > ソースポートプロトコル : "389" "6" (TCP) ネットワーク情報 > 宛先ポート : "[dsquery.exe を実行したクライアントで記録されたソースポート ]" 接続先接続元ホスト : 宛先ポートイベントID : 4624 ( アカウントが正常にログオンしました ) 4634 ( アカウントがログオフしました ) ログオンタイプ : "3" ネットワーク情報 > ソースネットワークアドレス : "[ イベント 5156 における宛先アドレス ]" ネットワーク情報 > ソースポート : "[ イベント 5156 に記録された宛先ポート ]" 使用されたユーザー : 新しいログオン > アカウント名アカウントドメイン新しいログオン ID: 新しいログオン > ログオン ID 他のログとの紐付けに使用する記載のもの以外で出力される可能性のある 65

67 3.16. およびコマンドの実行成功時に見られる痕跡下表はおよびコマンドが実行され攻撃が成功したことを確認する判断基準を記載するなおログの詳細に関しては各シートに記載している区分調査対象成否の判断 PsExec 以下が確認できた場合 PsExec が実行された可能性がある接続元 : に以下のログがある場合に psexec.exe のイベント ID が記録され実行結果 ( 戻り値 ) が "0x0" となっている接続先 : PSEXESVC.exe がインストールされている wmic 接続元接続先において同時刻に以下のログが確認できる場合リモート接続が行われた可能性がある接続元 : に以下のログがある場合に WMIC.exe のイベント ID が記録され実行結果 ( 戻り値 ) が "0x0" となっている接続先 : に以下のログがある場合でイベント ID 1 5 で WmiPrvSE.exe が実行されたことが記録されている PowerShell 以下のログが同じ時刻に確認できた場合リモートコマンド実行が行われた可能性があるの場合も同様接続元 : に以下のログがある場合に PowerShell のイベント ID が記録され実行結果 ( 戻り値 ) が "0x0" となっている接続先 : に以下のログがある場合に wsmprovhost.exe のイベント ID が記録され実行結果 ( 戻り値 ) が "0x0" となっているコマンド実行 wmiexec.vbs BeginX 接続先 : "WMI_SHARE" 共有が作成され削除されている接続元 : 接続先で意図せず許可されているポートと通信をしたことが記録されている接続先 : 意図しない通信が Windows Firewall で許可されており該当のポートでリッスンしている検体が存在する WinRM 接続元 : 以下のログがある場合 WinRM が実行された可能性があるのイベント ID:1 5 で cscript.exe が接続先にアクセスしたログが記録されている WinRS アプリケーションとサービス \Microsoft\Windows\Windows Remote Management\Operational に WinRS の実行が記録されている at 接続元 : に以下のログがある場合タスクが登録されたと考えられるに at.exe のイベント ID が記録され実行結果 ( 戻り値 ) が "0x0" となっている接続先 : に以下のログがある場合タスクが実行されていると考えられる \Microsoft\Windows\TaskScheduler\Operational にイベント ID 106( タスクが登録されました ) が記録されている \Microsoft\Windows\TaskScheduler\Operational にイベント ID 200( 開始された操作 ) 201( 操作が完了しました ) が記録されイベント ID 201 における戻り値が成功となっている BITS に以下のログがある場合ファイルの転送が行われたと考えられるアプリケーションとサービスログ \Microsoft\Windows\BitsClient にイベント ID: 60 が記録されており状態コードが "0x0" となっている PWDump7 PWDumpX 接続元 : "[ 検体のパス ]\[ 宛先アドレス ]PWHashes.txt" が作成されている場合実行が成功したものと考えられる Quarks PwDump 一時ファイル ("SAM[ ランダム数字 ].dmp") が作成され削除されている mimikatz ( パスワードハッシュ入手 ) mimikatz ( チケット入手 ) チケットを出力したファイルが生成された場合処理が成功したものと考えられるパスワードハッシュの入手 WCE gsecdump "C:\Users\[ ユーザー名 ]\AppData\Local\Temp\wceaux.dll" ファイルが作成削除されている lslsass FindGPOPasswords.ps1 パスワードをダンプした結果のファイル (GPPDataReport[ ドメイン名 ][ 日時 ].csv) が出力されている Mail PassView 抽出したパスワードが保存されている場合は成功したと判断できる WebBrowserPassView 抽出したパスワードが保存されている場合は成功したと判断できる Remote Desktop PassView 抽出したパスワードが保存されている場合は成功したと判断できる通信の不正中継 ( パケットトンネリング ) Htran Fake wpad 接続元 : に以下のログがある場合通信した可能性があるにイベント ID 5156 でトンネルホストトンネル先ホストとそれぞれ通信したことが記録されている接続元 : 本来プロキシや HTTP サーバーで無いはずのホストと 80/tcp 及び 8888/tcp による通信をおこなっている接続先 : 本来プロキシや HTTP サーバーで無いはずのホストが 80/tcp 及び 8888/tcp をリッスンしている wpad.dat proxy.log が作成されているリモートログイン RDP 接続先 : に以下のログがある場合接続が成功していると考えられるにイベント ID: 4624 が記録されている Microsoft\Windows\TerminalServicesLocalSessionManager\Operational にイベント ID:21 24 が記録されている Passthehash, Passtheticket WCE mimikatz 接続元 : WCESERVICE がインストール実行されたことが記録されている接続先 : リモートホストからログオンしたことが記録されている両側 : WMI を用いて通信したことが記録されている接続先 : に以下のログがある場合リモートからログインされていると考えられるにイベント ID 4624 が記録され意図しない接続元からアクセスされている SYSTEM 権限に昇格 MS14058 Exploit MS15078 Exploit イベント : 4688 において SYSTEM 権限で実行されているプロセスにおいて親プロセスが検体やそのプロセスの親となり得ないものとなっているイベント : 4688 において SYSTEM 権限で実行されているプロセスにおいて親プロセスが検体やそのプロセスの親となり得ないものとなっている権限昇格 SDB UAC Bypass 親プロセス名に本来は親プロセスとならないことが想定されるアプリケーションを含むプロセスが実行されたことが記録されている MS14068 Exploit 接続先 : のイベント ID 4672 において標準ユーザーに対して上位の特権が認可されているドメイン管理者権限アカウントの奪取 Golden Ticket (mimikatz) 接続先 : に以下のログがある場合不正ログオンが実行されていると考えられるのイベント ID で不正なドメインを持つアカウントによるログオンが記録されている Silver Ticket (mimikatz) 接続先 : に以下のログがある場合不正ログオンが実行されていると考えられるのイベント ID で不正なドメインを持つアカウントによるログオンが記録されている Active Directory データベースの奪取 ( ドメイン管理者ユーザーの作成もしくは管理者グループに追加 ) ntdsutil vssadmin 以下が確認できた場合情報収集が行われている可能性がある ntdsutil.exe が実行されに以下のログがある場合にイベント ID: 8222 が記録されているオブジェクト "[ システムドライブ ]\SNAP_[ 日時 ]_VOLUME[ ドライブレター ]$" に対するハンドルの要求が成功しているさらに通常は読み出せない C:\Windows\NTDS 配下のファイルをコピーしたログ ( イベント ID: 4663) が記録されている場合シャドウコピーを利用されている可能性があるに以下のログがある場合シャドウコピーが作成されたと考えられるにイベント ID: 8222 が記録されているさらに通常は読み出せない C:\Windows\NTDS 配下のファイルをコピーしたログ ( イベント ID: 4663) が記録されている場合シャドウコピーを利用されている可能性がある 66

68 区分調査対象成否の判断ローカルユーザーグループの net user にイベントID 4720が記録されている追加削除 net use 接続元 : に以下のログがある場合ファイル共有が行われた可能性があるに net.exe のイベント ID が記録され実行結果 ( 戻り値 ) が "0x0" となっているファイル共有 net share にイベント ID 5142 が記録されている icacls に icacls.exe に対するイベント ID: 4688 及び 4689 が記録されておりイベント ID: 4689 中の終了状態が "0x0" となっているイベント ID: からは対象ファイルが判断出来ないため対象の絞り込みには sysmon のイベント ID: 1 より icacls.exe のコマンドラインを併せて確認するがある痕跡の削除 sdelete timestomp 以下のような名前のファイルが繰り返し削除されている例 : 削除対象が sdelete.txt の場合 sdeleaaaaaaaaaaaaaaaaaaaa.aaa sdelezzzzzzzzzzzzzzzzzzzz.zzz などにイベント ID 4663 が記録されており対象ファイルに対する "WriteAttributes" のキーワードが " 成功の監査 " となっているの削除 wevtutil 各対象のにイベント ID: 104 が記録されている csvde 接続元 : csvde.exe が実行されており "f" オプションで指定されたファイルが作成されている "C:\Users\[ ユーザー名 ]\AppData\Local\Temp\csv[ ランダム数字 ].tmp" が作成削除されているアカウント情報の取得 ldifde 接続元 : ldifde.exe が実行されており "f" オプションで指定されたファイルが作成されている dsquery 抽出した情報が保存されている場合は成功したと判断できる 67

69 4. 追加ログ取得についてインシデント調査のための攻撃等の実行痕跡調査に関する報告書本章では 3 章に記載した調査結果から分かったデフォルト設定では取得できない詳細ログ取得の重要性および追加ログ取得を行うことで考慮すべき事項について説明する 4.1. 追加ログ取得の重要性今回の調査で Windows で標準的に搭載されているについては実行された痕跡がに残るが Windows に搭載されていないのほとんどについては実行された痕跡がどこにも残らないことが今回の調査で分かった例えばリモートログインのための RDP (Remote Desktop Protocol) の場合には Microsoft Windows TerminalServices LocalSessionManager Operational にタスク登録用の at の場合には Microsoft Windows TaskScheduler Operational にそれぞれ実行されたことを示す痕跡が残るそれに対して追加ログ取得のために監査ポリシーの有効化およびのインストールをした環境では大多数のの実行痕跡を取得することが可能であった例えば監査ポリシーの設定をすることによって一時的なファイルが作成されたことをに記録することができるそうすると csvde を利用してアカウント情報を収集しようとした際に作成された一時ファイル C: Users [ ユーザー名 ] AppData Local Temp csv[ ランダム数字 ].tmp がに記録されるが実行されたことを調査する場合は詳細なログを取得するためにこうした設定を事前に行っておくがあるなお詳細なログの取得は監査ポリシーの有効化およびのインストールによらずとも監査ソフトウエア ( 資産管理ソフトなど ) でも可能な場合があるそれらのソフトウエアで次の Windows OS の動作を監視している場合は監査ポリシーの有効化やのインストールをした環境と同様の記録が残る可能性があるプロセスの実行ファイルの書込み 4.2. 追加ログ取得設定の影響追加ログ取得を行う際に事前に考慮しておくがある項目としてログ量の増加が挙げられる監査ポリシーを有効化するとログの量が増加するためログのローテーションが早くなり古いログが残りにくくなるそのため監査ポリシーを有効化する場合はの最大サイズの変更もあわせて検討していただきたいの最大サイズの変更はイベントビューアーまたは wevtutil コマンドで変更可能であるなおの最大サイズを変更することで記憶領域を圧迫する恐れがあるの最大サイズを変更する場合は検証した上で実施することを推奨する 68

70 インシデント調査のための攻撃等の実行痕跡調査に関する報告書 5. インシデント調査における本報告書の活用方法本章では本調査報告書の第 3 章を活用したインシデント調査の事例を通じてインシデント調査の現場における本調査報告書の利用イメージを述べる 5.1. 本報告書を使用したインシデント調査第 3 章はインシデント調査時にどのようなが実行された可能性があるのかを調査する際に活用されることを想定して作成したインシデント調査時に確認された特徴的なのイベント ID やファイル名レジストリエントリなどをキーに検索することで実行された可能性があるを探し出すことができるインシデント調査時にはに何か不振なログがないか確認するところから着手することが多いその確認で例えばイベント ID: 4663( オブジェクトへのアクセスが試行されました ) が見つかり PWHashes.txt というファイルが一時的に作成された痕跡があったとする ( 監査ポリシーを有効化している場合記録される ) この特徴的な PWHashes.txt という文字列で第 3 章を検索すると PWDumpX を実行した際に作成されるファイルであることが分かるさらに節を参照しつつ調査を進めることにより PWDumpX は攻撃者がパスワードハッシュを入手するために実行するコマンドでありまた [ 宛先アドレス ]PWHashes.txt という名前の一時ファイルが作成されていたことから IP アドレスのサーバ上のパスワードハッシュを入手すると言う目的を攻撃者が完遂したと推測されることが分かる IP アドレスのサーバを調査すると C: Windows System32 DumpSvc.exe というファイルが作成および実行されておりさらにサービス PWDumpX Service がインストールされていることがイベント ID: 7045( サービスがシステムにインストールされました ) として記録されていることを確認することができるこのことから IP アドレスのパスワードハッシュが攻撃者に入手されていると断定することができる 3.16 節には各が実行されたことを確認するための方法をまとめている各で記録される情報を一覧できるのでインシデントの調査に着手するのに先立って調査戦略を立てるための参考にして欲しい 69

71 インシデント調査のための攻撃等の実行痕跡調査に関する報告書 6. おわりに近年標的型攻撃によって多くの組織が被害にあっていたことが明るみになる中その被害の詳細を調べるインシデント調査は重要度を増しつつある本報告書ではそのようなインシデント調査において鍵となるが実行されたことを示す痕跡情報ととの対応関係を整理して示した Windows のデフォルト設定のままでは多くのについて実行の痕跡が残らずインシデント調査も迷宮入りしかねない攻撃者が何をしたのかをより詳細に分析するためにはデフォルト設定で取得できる以上のログを収集できる環境を事前に整備しておくことがであるネットワーク内部への侵入を阻止するのが難しい現状においてはインシデント発生後の被害状況調査のためにログの取得方法について日頃から検討し改善しておくことは被害拡散防止や事後の対策を検討する上でも重要である本書で示した Windows の標準機能を利用した追加ログ取得方法に限らず監査アプリケーションを使用する方法など組織に合わせた対応を検討して備えを固めるとともにインシデントの発生が疑われる場合には攻撃者による等の実行痕跡を洗い出すために本報告書を活用していただきたい深刻化する標的型攻撃を早期に発見し的確に対処するために本報告書が一助となれば幸いである 70

インシデント調査のための攻撃等の実行痕跡調査に関する報告書 7. 付録 A 本章ではのインストール方法および監査ポリシーの有効化方法について記載するなお監査ポリシーの設定およびのインストールを行うことでの量が増大することを確認している実際に行う場合は事前に検証することを推奨する 7.1. のインストール方法 1. 以下のサイトからをダウンロードする https://technet.

72 インシデント調査のための攻撃等の実行痕跡調査に関する報告書 7. 付録 A 本章ではのインストール方法および監査ポリシーの有効化方法について記載するなお監査ポリシーの設定およびのインストールを行うことでの量が増大することを確認している実際に行う場合は事前に検証することを推奨する 7.1. のインストール方法 1. 以下のサイトからをダウンロードする 2. 管理者権限でコマンドプロンプトを実行し以下のコマンドを実行する >.exe i オプション n を追加することで通信のログを取得できるようになるが通信に関しては監査ポリシーで対応する 7.2. 監査ポリシーの有効化方法以下ではローカルコンピュータに対して監査ポリシーを有効にする方法を説明するなお以降の設定方法は Windows 10 で設定を行った場合を示す 1. ローカルグループポリシーエディターを開く ([ 検索 ] ボックスに gpedit.msc と入力し実行する ) 2. [ コンピューターの構成 ] [Windows の設定 ] [ の設定 ] [ ローカルポリシー ] [ 監査ポリシー ] を選択し各ポリシーの成功失敗を有効にする 71

73 インシデント調査のための攻撃等の実行痕跡調査に関する報告書 3. [ ローカルディスク (C:)] [ プロパティ ] [ ] タブ [ 詳細設定 ] を選択する 4. [ 監査 ] タブから監査対象のオブジェクトを追加する 72

74 インシデント調査のための攻撃等の実行痕跡調査に関する報告書 5. 以下のように監査対象のユーザおよび監査するアクセス方法を選択する今回設定したアクセス許可は以下の通り ( ファイルの読み取りも記録することでより詳細な調査が可能になるがログの量が増大するため対象外にしている ) ファイルの作成 / データ書き込みフォルダーの作成 / データの追加属性の書き込み拡張属性の書き込みサブフォルダとファイルの削除削除アクセス許可の変更所有権の取得 73

75 インシデント調査のための攻撃等の実行痕跡調査に関する報告書上記設定を行うことで以下のエラーが多数表示されるが続行する 74

すべて見る

ログを活用したActive Directoryに対する攻撃の検知と対策

ログを活用したActive Directoryに対する攻撃の検知と対策電子署名者 : Japan Computer Emergency Response Team Coordination Center DN : c=jp, st=tokyo, l=chiyoda-ku, Japan Computer Emergency Response email=office@jpcert.or.jp, o=japan Computer Emergency Response Team