PowerPoint Presentation

Similar documents
Microsoft PowerPoint - A-5予稿_最終版

Microsoft PowerPoint - A-3予稿最終版

ログを活用したActive Directoryに対する攻撃の検知と対策

Microsoft PowerPoint _A4_予稿(最終)

平成 28 年度大学情報セキュリティ研究講習会 A-2 標的型攻撃を受けているらしいとの連絡があった時の調査と対応の演習 実習資料 A-2 標的型攻撃を受けているらしいとの連絡があった時の調査と対応の演習 実習環境について 攻撃側 PC(attacker-pc) と感染側 PC(sjk-pc) の

Active Directory のログ調査の重要性 2018 年 4 月 26 日 東京大学大学院情報学環 セキュア情報化社会研究寄付講座

Page 1 A-2. 標的型攻撃を受けているらしいとの連絡があった時の調査と対応 東海大学 東永祥 公益社団法人私立大学情報教育協会

目次 実習 1 ネットワーク接続状況の確認... 2 実習 2 不審プロセスの確認... 5

2. 生田仮想デスクトップ PC の接続方法 生田仮想デスクトップ PC に接続する方法は 次の 2 通りです 1. HTML アクセス Internet Explorer や Safari などのブラウザを用います PC に特別なソフトウェアをインストールす る必要が無いので 管理者権限をもってい

2. 生田仮想デスクトップ PC の接続方法 生田仮想デスクトップ PC に接続する方法は 次の 2 通りです 1. HTML アクセス Internet Explorer や Safari などのブラウザを用います PC に特別なソフトウェアをインストールす る必要が無いので 管理者権限をもってい

音声認識サーバのインストールと設定

通信確保と衛星電話実習 ( 業務調整員 ) 参考資料 ワイドスター Ⅱ を活用したデータ通信に関する簡易説明書 第 1.0 版 平成 2 4 年 3 月株式会社 NTTドコモ関西支社法人営業部ソリューションビジネス部 Copyright 2012 NTT docomo Inc. All Rights

PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP が被るとローカル環境内接続が行えなくな

2 1 事前準備する バージョンアップ操作を行う前に 次の準備を行います (1-1) ひかり電話対応 VoIP アダプタ (AD-200NE) にログインするための パスワード を用意します ひかり電話対応 VoIP アダプタ (AD-200NE) に初めてログインする場合 パスワード設定を行う必要

SAMBA Stunnel(Windows) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxx 部分は会社様によって異なります xxxxx 2 Windows 版ダウンロード ボ

(8) [ 全般 ] タブをクリックします (9) [ インターネット一時ファイル ] の [ 設定 ] ボタンをクリックします (10) [ 保存しているページの新しいバージョンの確認 ] から [ ページを表示するごとに確認する ] をクリックします (11) [OK] ボタンをクリックしていき

RDP 接続不具合パッチ適用手順 第 1.11 版更新日 :2016/8/30 NTT コミュニケーションズ株式会社

システム利用前の準備作業2.1 準備作業の流れ 準備作業の流れは 以下のとおりです 2必要なものを用意する 2.2 パソコンインターネット接続回線 E メールアドレス 2.2-(1) 2.2-(2) 2.2-(3) 当金庫からの送付物 2.2-(4) パソコンの設定をする 2.3 Cookie の設

Microsoft Word - シャットダウンスクリプトWin7.doc

SAMBA Stunnel(Mac) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxxxx 部分は会社様によって異なります xxxxx 2 Mac OS 版ダウンロー

アクセス許可を設定する画面が開いたら グループ名またはユーザー名 欄から Everyone を選択し Everyone のアクセス許可 欄で フルコントロール の 許可 にチェックを付け このフォルダへのアクセスを許可します 設定後は OK を押して終了します 2. フォルダへのアクセス許可を設定す

Microsoft Word - MyWebMedical40_client_guideIE8.doc

PowerPoint プレゼンテーション

目次 1. PDF 変換サービスの設定について )Internet Explorer をご利用の場合 )Microsoft Edge をご利用の場合 )Google Chrome をご利用の場合 )Mozilla Firefox をご利

ネットキーの操作手順について

SAMBA Remote(Mac) 編 PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP

Mozilla Thunderbird アカウント設定手順 株式会社アマダアイリンクサービス

1. はじめに Systemwalker Desktop Patrol V 以降でセキュリティ監査として BIOS パスワード設定の監査 を提供しています しかし Systemwalker Desktop Patrol メインメニュー のセキュリティ情報に表示される起動パスワード 設定パ

OS の bit 数の確認方法 - Windows0 及び Windows8. Windows のコントロールパネルを開きます Windows0 の場合 スタート から Windows システムツール の コントロールパネル をクリックします Windows8. の場合 スタート から PC 設定

クイックセットアップ for モバイル(iOS/Android)

SMB送信機能

1. はじめに (1) 本書の位置づけ 本書ではベジフルネット Ver4 の導入に関連した次の事項について記載する ベジフルネット Ver4 で改善された機能について 新機能の操作に関する概要説明 ベジフルネット Ver4 プログラムのインストールについて Ver4 のインストール手順についての説明

Microsoft Word - Gmail-mailsoft設定2016_ docx

Windows Server 2003 におけるPrint Manager V6.0L10の留意事項

ユーザーズマニュアル

目次 1. 教育ネットひむかファイル転送サービスについて ファイル転送サービスの利用方法 ファイル転送サービスを利用する ( ひむか内 ) ファイル転送サービスへのログイン ひむか内 PCでファイルを送受信する

プレゼンテーション

Microsoft Word - クライアントのインストールと接続設定

.1 準備作業の流れ 準備作業の流れは 以下のとおりです 必要なものを用意する. パソコンインターネット接続回線 E メールアドレス.-(1).-().-(3) 当金庫からの送付物.-(4) パソコンの設定をする.3 Cookie の設定を行う.3-(1) Java の設定を有効にする ( ファイル

(Microsoft PowerPoint - TASKalfa256ci\274\330\260\275\336_FAX\216\363\220ME\322\260\331\223]\221\227\220\335\222\350Ver1.1.ppt)

クイックセットアップ for モバイル(iOS/Android)

スライド 1

ファイル アップロード

V.O.Anywhere ご利用の手引き ~ macOS編 ~

マルチクラウド環境の最適解! ネットワンの セキュリティサービス 2018 年 12 月 13 日ネットワンシステムズ株式会社ビジネス推進本部商品企画部セキュリティチーム兼松智也

2. 留意事項セキュリティ対策を行う場合 次のことに留意してください 不正侵入対策の設定を行う場合 お使いのソフトウェアによっては今までのように正常に動作しなくなる可能性があります 正常に動作しない場合は 必要に応じて例外処理の追加を行ってください ここで行うセキュリティ対策は 通信内容の安全性を高

Webセキュリティサービス

1 本ドキュメントが想定するネットワーク環境 本ドキュメントが想定するネットワーク環境を図に示す 各種モダリティで撮像した DICOM データは DICOM サーバに送信され データベースに登録される クライアントパソコンには InVesalius がインストールされている これらの機器はすべてネッ

Pirates Buster Series Secure Viewer セットアップマニュアル (Web インストーラ)

マニュアル目次 1)eCore 概要 2) マスター作成方法 3) 初回起動方法 4)eCore デスクトップ画面の説明 5) ネットワーク接続方法 6) サーバー接続方法 7) よくある質問 1

マイナンバー対策マニュアル(技術的安全管理措置)

1 Windows XP/Vista/7/8 ( 有線 LAN) Ⅰ LAN ケーブル接続 Ⅱ ブラウザ設定 Ⅲ ログオン 端末登録 の順に設定を行う <ⅠLAN ケーブル接続 > 1-1 LAN ケーブルを差しこむ学内アクセスポイントには LAN ケーブルの差込口が用意されています LAN ケーブ

これらの情報は 外部に登録 / 保存されることはございません 5 インターネット接続の画面が表示されます 次へ > ボタンをクリックしてください 管理者様へ御使用時に設定された内容を本説明文に加筆ください 特に指定不要で利用可能であった場合は チェックボックスを オフ していただきますようご案内くだ

Microsoft Word JA_revH.doc

Active Directory フェデレーションサービスとの認証連携

インターネット EDI システムを使用する前の準備 目次 動作環境について... 2 Internet Explorer7.0 / 8.0 をご利用の場合の設定方法... 3 [1] インターネット EDI システムを利用するための標準的な設定... 3 [2] ブラウザ型で帳票を利用する場合に必要

Microsoft Word - XOOPS インストールマニュアルv12.doc

SMB送信機能

実習資料 2 仙台 CTF セキュリティ技術勉強会実習 plaso/log2timeline によるタイムライン解析 平成 29 年 11 月 12 日 仙台 CTF 実行委員会

福岡大学ネットワーク認証・検疫システム実施マニュアル

Logstorage for VISUACT 標的型サイバー攻撃 対策レポートテンプレート

ご利用の前に 目次 推奨環境とソフトウェアのバージョン 推奨環境について Windows8 Windows8.1 について Internet Explorer のバージョン確認 SAMWEB の初期設定 セ

ご注意 1) 本書の内容 およびプログラムの一部 または全部を当社に無断で転載 複製することは禁止されております 2) 本書 およびプログラムに関して将来予告なしに変更することがあります 3) プログラムの機能向上のため 本書の内容と実際の画面 操作が異なってしまう可能性があります この場合には 実

SMB送信機能

9. システム設定 9-1 ネットワーク設定 itmはインターネットを経由して遠隔地から操作を行ったり 異常が発生したときに電子メールで連絡を受け取ることが可能です これらの機能を利用するにはiTM 本体のネットワーク設定が必要になります 設定の手順を説明します 1. メニューリスト画面のシステム設

Microsoft Word - SSI_Smart-Trading_QA_ja_ doc

共有フォルダ接続手順 1 共有フォルダ接続ツールのダウンロード 展開 CSVEX のトップページから共有フォルダ接続ツールの zip ファイルをダウンロードします ダウンロードした zip ファイルを右クリックして すべて展開 を選択します (Windows 環境では zip ファイルを解凍しなくて

スライド 1

DJM-900nexus アップデート方法 for Microsoft Windows 7 A. 展開したファイルの内容を確認してください : 1. ダウンロードしたファイルを展開します ダウンロードしたファイルを右クリックし 表示されたメニューから すべて展開 を選びます 展開先を指定してファイル

(Microsoft PowerPoint - TASKalfa5550ci\274\330\260\275\336_E\322\260\331\221\227\220M\220\335\222\350Ver1.2.ppt)

I. CA 証明書のインポート 1 リモート端末にて CA 証明書の URL ( へアクセスし ca.cer をダウンロードし デスクトップ上など任意の場所に保存し ダブルクリックしてください ( 上記 URL へアクセスした際に デジタ

ServerView Resource Orchestrator V3.0 ネットワーク構成情報ファイルツール(Excel形式)の利用方法

Microsoft Word 接続マニュアル(Windows7)  ~.doc

インストールマニュアル

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

『PCA自動バックアップオプション』セットアップ説明書

MC3000一般ユーザ利用手順書

目次 本書の概要... 3 QNAP で AD 環境を構築するネットワーク環境... 3 Active Directory ドメインコントローラ構築... 5 AD ユーザ作成 AD ユーザ単独作成 AD ユーザ複数作成 共有フォルダアクセス許可追加

クイックセットアップ for モバイル(Windows)

Shareresearchオンラインマニュアル

4 自己登録 の画面が表示されたら 送信 をクリックします 5 アクションが完了しました : 成功 が表示されたら 画面を下にスクロールし 画面右下隅の OK をクリックします 6Windows 用または Mac 用のキャンパスクラウドエージェントをクリックしてダウ ンロードしてください 8 ダウン

BACREX-R クライアント利用者用ドキュメント

クイックセットアップ for モバイル(Windows)

Microsoft PowerPoint ï½žéł»å�’å–¥æœ�ㇷㇹㅃㅀ㇤ㅳㇹㅋㅼㅫ曉逃.ppt [äº™æ‘łã…¢ã…¼ã…›]

ドメインコントローラを冗長化していてもバックアップは必要です! Active Directory データベースの複製の仕組み DC1 2 変更された情報を定期的に他の DC に複製 DC2 同期 1 ドメインコントローラ (DC) で変更が行われる Active Directory データベース上で

Microsoft Word - ManagerIPChange.doc

iStorage NSシリーズ管理者ガイド(詳細編)

目次 1. はじめに 証明書ダウンロード方法 ブラウザの設定 アドオンの設定 証明書のダウンロード サインアップ サービスへのログイン

ServerView ESXi CIM Provider VMware ESXi 4インストールガイド

Inet-Builder Client 操作説明書

クライアント証明書インストールマニュアル

目次 専用アプリケーションをインストールする 1 アカウントを設定する 5 Windows クライアントから利用できる機能の紹介 7 1ファイル フォルダのアップロードとダウンロード 8 2ファイル更新履歴の管理 10 3 操作履歴の確認 12 4アクセスチケットの生成 ( フォルダ / ファイルの

バックアップについての注意点 自動バックアップ設定後も 正常にデータが保管されているか定期的に必ず確認してください 定期的に必ず確認してください 設定後であっても様々な理由で突然バックアップが失敗していることもあるためです 複数の場所や媒体に定期的に保管することを強くおすすめします! 特に同じ建屋内

プリンタドライバのインストール. Windows で使用する場合 Windows プリンタドライバのインストール方法は 接続方法や使用するプリンタドライバによって異なります また コンピュータの OS によってインストール方法が異なります お使いのコンピュータの OS に合わせて 以下の参照ページを

Proselfの利用方法

証明書インポート用Webページ

(Microsoft PowerPoint - TASKalfa552ci\274\330\260\275\336_E\322\260\331\221\227\220M\220\335\222\350Ver1.4.ppt)

改版履歴 版数 日付 内容 担当 V /03/27 初版発行 STS V /01/27 動作条件のオペレーティングシステムに Windows 7 STS を追加 また 動作条件のブラウザに Internet Explorer 8 を追加 V /0


Transcription:

Page 1 A-3. サイバー攻撃の痕跡調査 明治大学 服部裕之

Page 2 演習ストーリー 数日前に PC で不審なメールを受信し 添付ファイルを開いたとの連絡があった そこで PC の調査を行うことになった

Page 3 メニュー 1 痕跡調査 演習 1. 証拠保全 2. イベントログによる攻撃ツール実行の痕跡調査 2 感染拡大 演習 1. 資格情報を使った感染拡大の手法

Page 4 実習概要 sjk-pc sjk-victim-pc sjk-dc00 攻撃側 PC 感染側 PC ADサーバ 実習 2 実習 1 遠隔操作による PC の調査 侵入拡大 PC の証拠保全 実習 3 イベントログによる痕跡調査 実習 4 感染拡大 10.10.20.1 10.10.10.10 10.10.10.200 PC 教室 LAN 内部ネットワーク

Page 5 実習 1 遠隔操作による PC の調査 侵入拡大 攻撃側 PC から 感染側 PC の調査を行い 他 PC への侵入拡大を図る Virtual Box( 仮想環境 ) 攻撃側 PC 2 感染側 PC に送り込んだ調査用のコマンドを起動 RAT コントローラー (C&C サーバ ) 感染側 PC 1 添付ファイルを開きマルウェアに感染 3 調査用のコマンドが実行 RAT

被害側組織で行うことは? Page 6 PC の調査 実習 2 実習 3 実習 3 証拠保全 PCの詳細調査に必要な情報を保全状況把握 マルウェアに感染しているのか? どんなマルウェアなのか? 痕跡調査 なにをされたのか? 情報漏えいや内部侵入の形跡はないか? マルウェアの駆除システムの復旧 被害拡大の防止 通信制限の強化やネットワークの遮断 補足 1 参照 ネットワークの調査 痕跡調査 補足 2 参照

実習 2 PC の証拠保全 Page 7 PC の詳細調査 ( フォレンジック ) に必要な情報を ツールを用いて採取し 保全する Virtual Box( 仮想環境 ) 攻撃側 PC 感染側 PC 1 証拠保全 RAT コントローラー (C&C サーバ ) RAT

Page 8 証拠保全ツール 実習で使用 FTK Imager Lite http://accessdata.com/product-download/ftk-imager-lite-version- 3.1.1 本格的なフォレンジックで使用 FastIR https://sekoialab.github.io/fastir_collector/ 簡易的なフォレンジックで使用

Page 9 証拠保全の対象 メモリ ネットワーク情報 プロセス情報 ユーザー入力情報 ハードディスク イベントログ レジストリ システムファイル 感染側 PC 1 証拠保全 ツール HDD メモリ 2 3 詳細調査 ( フォレンジック )

Page 10 証拠保全の留意点 なるべく現状のままで保全を 稼働中のシステムでやみくもな調査を行うことによって 後のフォレンジック作業の妨げになることも マルウェアが自己消去してしまう可能性も PCの電源を切らない 再起動もしない ネットワークケーブルは抜かない 証拠保全は インシデント発覚時の初期段階で実施 特定非営利活動法人デジタル フォレンジック研究会 証拠保全ガイドライン第 7 版 2018 年 7 月 20 日 https://digitalforensic.jp/wp-content/uploads/2018/07/guideline_7th.pdf

実習 3 イベントログによる痕跡調査 Page 11 イベントログより マルウェア感染の確認と遠隔操作の内容を調査する Virtual Box( 仮想環境 ) 攻撃側 PC 感染側 PC 1 イベントログからマルウェア感染を確認する 2 遠隔操作の内容を調査する RAT コントローラー (C&C サーバ ) RAT

イベントログの調査ツール Page 12 実習で使用 イベントビューアー (OS 付属 ) スタートメニュー 右クリック イベントビューアー Event Log Explorer https://eventlogxp.com/jap/ 30 日評価版あり 個人用途ならば無料で使用可能 検索や表示画面のカスタマイズ機能が優れている

Page 13 Event Log Explorer イベント一覧 イベントログ の 選択 イベント詳細

Page 14 痕跡調査のストーリー Bozok client.exe 攻撃側 PC 感染側 PC 10.10.20.1 10.10.10.10 ( 演習 1) 起動 ( 遠隔操作 ) Remote Shell ネットワーク ( コマンド指令 ) 不審なプロセスプロセス名? PID=??? 生成 ( 演習 2) プロセス名? 子プロセス PID=??? 生成 ( 演習 3) コマンド名? PID=??? 内部調査コマンド (systeminfo 等 )

Page 15 演習 1 解答 プロセス名 (Image) C: Users sjk99 Desktop A3 bozok server.exe プロセス起動日時 (Date/Time) Date: 2018/8/24 Time: 13:00:00( 日本時間 ) プロセス番号 (Process ID) ( 例 ) 2364 (*1) 実行ユーザ名 (User) SJK-VICTIM-PC sjk99 送信元 IP アドレス (Source IP) 10.10.10.10 送信先 IP アドレス (Destination IP) 10.10.20.1

Page 16 演習 2 解答 コマンド名 (CommandLine) cmd コマンド起動日時 (Date/Time) Date:2018/8/24 Time:13:00:01( 日本時間 ) プロセス番号 (Process ID) ( 例 ) 484 (*2) 親のプロセス番号 (ParentProcessID) ( 例 )2364 ( 演習 1 の (*1) と同じ値 )

Page 17 プロセスの相関 (RemoteShell) Bozok client.exe 攻撃側 PC 感染側 PC 10.10.20.1 10.10.10.10 ( 遠隔操作 ) ネットワーク PID=xxxx server.exe 起動生成 cmd.exeの親プロセス PID=yyyy Remote Shell ( コマンド指令 ) cmd.exe 生成 内部調査コマンドの 親プロセス PID=zzzz 内部調査コマンド (systeminfo 等 )

Page 18 演習 3 解答 コマンド起動日時 (Date/Time) コマンド名 (CommandLine) 1 2018/8/24 13:01:00 systeminfo 2 2018/8/24 13:01:02 whoami 3 2018/8/24 13:01:04 net user sjk99 OS の構成情報を調査 自分のユーザ名を調査 登録されているユーザ名を調査 4 2018/8/24 13:01:05 net config workstation 5 2018/8/24 13:01:06 net use 6 2018/8/24 13:01:10 powershell start-process cmd -ArgmentList '/k "cd tool ticket & tool mimikatz ドメイン構成を調査 共有フォルダの構成を調査 後ほど解説 privilege::debug sekurlsa::logonpasswords sekurlsa::tickets /export exit" -verb runas

Page 19 演習 4 解答 演習 1 より ログオン名が ( sjk99 ) である利用者が遠隔操作マルウェア Bozok に感染したことがわかった 演習 2 3 より 遠隔操作により感染側 PC 上で cmd が起動し 合計 ( 6 ) 個のコマンドが実行されたことがわかった 攻撃者はこれらのコマンドを用いて PC の ( 内部調査 ) を行った模様である

実習 4 感染拡大 Page 20 感染 PC を基点として 他 PC やサーバへの侵入を拡大する Virtual Box( 仮想環境 ) 感染側 PC AD サーバ 1 入手したパスワードハッシュを用いて AD サーバへのアクセスを行う RAT リモートアクセス

Page 21 端末間での侵害拡大 他端末へ攻撃 外部からコントロールできる端末を複数台 確保する 主な手法 Pass the Hash 攻撃 Pass the Ticket 攻撃 オートコンプリート機能による保存パスワードの盗用 補足 3 C&C サーバ 基盤拡大用端末 潜伏用端末 攻撃者 指令用端末 RAT 感染 侵入拡大 (ID/PW の盗用 ) 情報送信用端末 情報収集用端末

Page 22 アクセス権限 システムのセキュリティは パスワード で守られている ユーザ名 :XXX パスワード :Tx#$&bxl! ユーザ名 :XXX パスワード :Tx#$&bxl! ユーザ名 :XXX パスワード :Tx#$&bxl! パスワード! ログオン ファイル共有 プリンタ共有 リモートデスクトップ etc. いちいちパスワードを入力しないサービスも

資格情報はどこに保存されているのか? (Windows の場合 ) Pass-the-Hash 攻撃で利用 パスワードのハッシュ値 Kerberosチケット ADドメインサーバ AD SAM データベース データベース ドメインユーザ Page 23 ローカルユーザ Pass-the-Ticket 攻撃で利用 メモリ (lsass.exe) LSAプロセス : 認証時に利用されたユーザIDとパスワードをキャッシュ

Page 24 Pass the Hash 攻撃 Windows の認証を回避し ユーザ ID とパスワードのハッシュ値のみを使い不正アクセスする手法 生のパスワードが分からなくても アクセスできる ドメイン管理の場合 1 台の PC がやられると 全ての PC が被害にあう恐れがある 攻撃者 2 ユーザ ID+ パスワードハッシュを用いて 近隣端末へ不正アクセス Windows ドメイン ドメイン管理者権限が取られれば ドメイン配下の全ての PC は制圧 1 ユーザ ID とパスワードハッシュ値を 入手 マルウェア感染 ユーザ ID + ハッシュ

Page 25 Pass the Ticket 攻撃 ドメイン環境の認証で用いるチケットを不正に使いアクセスする手法 2 種類のチケットを悪用 TGT - Ticket Granting Ticket ST - Service Ticket チケットは偽造可能 1TGT 要求 2TGT 発行 ( ユーザ権限 ) 偽造したチケットのことを Golden Ticket とか Silver Ticket という ドメインコントローラ 攻撃者 TGTやSTを偽造できれば 1~4は不要だな 3ST 要求 (TGT も送る ) 4ST 発行 ( ユーザ権限 ) 5 サービスへ接続 (ST も送る ) サーバ

Page 26 mimikatz Windowsのメモリ上に保持されているアカウントの認証情報にアクセスし 管理者権限の取得や他のアカウントの なりすまし を行うためのツール オープンソース https://github.com/gentilkiwi/mimikatz 改良が早いため EXE 版 DLL 版 PowerShell 版検知困難 機能 資格情報の取得 Petya でも採用 生パスワード ( キャッシュに存在すれば ) NTLMパスワードハッシュ値 Kerberosチケット なりすまし攻撃 Pass-the-Hash Pass-the-Ticket Ticketの偽造

Page 27 pth.bat の中身 c: tool mimikatz privilege::debug sekurlsa::pth /user:administrator /domain:example.jp /ntlm:fadfd3f83688a18eccb30c6054ac5472 /run: " cmd /k psexec sjk-dc00.example.jp cmd " " exit mimikatz sekurlsa::pth Pass-the-hash 攻撃 example.jpドメインのadministrator 権限でコマンド (cmd) を実行 /ntlm:fadfd3f83688a18eccb30c6054ac5472 あらかじめmimikatzで入手したadministratorのNTLMハッシュ値を指定 psexec sjk-dc00.example.jp cmd ドメインコントローラー (sjk-dc00) へリモートアクセスを実行

Page 28 演習 5 解答 (1) hostname 今 操作しているコンピュータのホスト名は ( sjk-dc00 ) である (2) whoami 操作している自分のアカウント名は ( example administrator ) である (3) net user AD に登録されているアカウントで sjkad で始まるのは合計 ( 6 ) 個 存在した

Page 29 演習 4 解答 ( 追加 ) さらにpowershell 経由でmimikatzが起動された 引数にsekurlsa::loginpasswordsや sekurlsa::ticketとあるので 感染端末のメモリやキャッシュに存在している アカウントの ( パスワードハッシュ値 ) や ( kerberosチケット ) などの資格情報が調査された模様である

Page 30 まとめ あらかじめ PC のイベントログによる監視を強化することにより サイバー攻撃の痕跡調査が行える イベントログは攻撃者によって消去されることがあるので注意 イベントログはネットワーク経由で他サーバに保存することが望ましい 端末に残されている資格情報を用いて 他サーバへの侵入拡大が行える 対策は次のセッションで

Page 31 補足 1 被害拡大の防止 外部ネット接続ケーブルの抜線 対応の レベル感 影響範囲大 外部向けファイアウォール 外部との接続を すべて 遮断 外部との接続を 一部のサービス ( 例 : メール ) を除き遮断 C&C サーバとの通信 のみ を遮断 内部用ファイアウォール ( 導入済の場合 ) 重要サーバへの通信の監視強化 通信制限 感染 PC のネット接続ケーブルの抜線 影響範囲小

Page 32 補足 2 ネットワークの調査 ファイアウォール マルウェアに感染した PC から C&C サーバへの通信 ブラウジング中 マルウェアに感染した PC から ダウンロードサイトへの通信 IDS/IPS のアラート Proxy サーバのログ

Page 33 補足 3 オートコンプリート機能で保存されたパスワードの盗用と対策 オートコンプリート 対策 キーボードからの入力を補助する機能 一度ブラウザから入力した ユーザ ID+ パスワード を 次回のアクセスからは自動入力に パスワードは PC 内部に保存されているが 攻撃ツールを用いて取り出し可能 インターネットオプション コンテンツ タブ

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック