インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書(第2版)公開(2017-11-09)

JPCERT/CCでは、2016年6月に攻撃者がネットワーク内に侵入後に利用する可能性が高いツール、コマンドを調査し、それらを実行した際にどのような痕跡がWindows OS上に残るのかを検証した結果をまとめたレポート「インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書」を公開しました。その後、多くのご意見をいただいたことから、レポートのアップデート作業を行ってきました。
そして本日、本レポートのアップデート版を公開しましたのでお知らせします。

この報告書のアップデート内容について紹介します。

レポートのアップデート内容
本レポートは、攻撃に使用されることが多いツールやコマンドの実行時に、どのようなログが出力され、どのようなファイルが作成されるかをまとめた資料であり、インシデント調査に活用できるものになっています。以前のレポートでは、イベントログおよびレジストリエントリの調査が中心でしたが、今回のアップデートではUSN JournalやAppCompatCache、UserAssistなどフォレンジック視点で調査する場合の確認方法についても記載しています。
その他のアップデートは以下の通りです。

  • Windows 10を用いた検証
  • Sysmonバージョン5を用いた検証
  • 調査対象となる証跡の追加
    → USN Journal、AppCompatCache、UserAssistなど
  • ネットワーク通信の調査
    → プロキシ、ファイアウォールなど
  • 調査対象ツールの追加・入れ替え
  • ツール分析結果のHTML化

なお、今回調査した49種類のツールおよびコマンドについては、Appendix Aをご覧ください。

レポートの形式
以前のレポートは1つのPDFでしたが、今回から「報告書」と「ツール分析結果シート」の2つにわかれています。「報告書」には、本レポートの調査方法や活用方法、使用する上での注意点などが書かれています。「ツール分析結果シート」には、具体的な49種類のツールおよびコマンドが実行された際に記録される情報の詳細が記載されています。
本レポートを実際に使用する際は、まず「報告書」に記載されている注意事項やレポートを使用した調査方法などを確認したうえで、「ツール分析結果シート」を見ることをお勧めします。

おわりに
我々が攻撃手法について理解を深めるのと同時に、攻撃者は次の新しい攻撃手法を生み出しています。本レポートは、そのような動きに今後も対応していく予定です。「このようなツールを調査してほしい」や「Windowsのこの項目についても調査対象とするべきだ」などの意見がありましたら、ぜひお寄せください。

分析センター 朝長 秀誠

Appendix A 調査したコマンドおよびツール

表 1: 調査したコマンドおよびツール一覧

分類 コマンドおよびツール
コマンド実行 PsExec
PsExec2
schtasks2
wmiexec.vbs
BeginX
WinRM
WinRS
BITS
パスワード、ハッシュの入手 PWDump7
PWDumpX
Quarks PwDump
Mimikatz
(パスワードハッシュ入手 lsadump::sam)
Mimikatz
(パスワードハッシュ入手 sekurlsa::logonpasswords)
Mimikatz (チケット入手 sekurlsa::tickets)
WCE
gsecdump
lslsass
AceHash
Find-GPOPasswords.ps1
Get-GPPPassword (PowerSploit)
Invoke-Mimikatz (PowerSploit)
Out-Minidump (PowerSploit)
PowerMemory (RWMC Tool)
WebBrowserPassView
通信の不正中継(パケットトンネリング) Htran
Fake wpad
リモートログイン RDP

Pass-the-hash

Pass-the-ticket

WCE (リモートログイン)
Mimikatz (リモートログイン)
権限昇格 MS14-058 Exploit
MS15-078 Exploit
SDB UAC Bypass
ドメイン管理者権限アカウントの奪取 MS14-068 Exploit
Golden Ticket (Mimikatz)
Silver Ticket (Mimikatz)
ローカルユーザー・グループの追加・削除 net user
ファイル共有 net use
痕跡の削除 sdelete
timestomp
klist purge
wevtutil
情報収集 ntdsutil
vssadmin
csvde
ldifde
dsquery
dcdiag
nltest
nmap
≪ 前へ
トップに戻る
次へ ≫