2017年11月9日、JPCERT/CC は、「インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書(第2版)」を公開しました。この報告書は、攻撃に使用されることが多いツールやコマンドの実行時に、どのようなログが出力され、どのようなファイルが作成されるかをまとめたものです。以前のレポートでは、イベントログおよびレジストリエントリの調査が中心でしたが、今回のアップデートでは、USN Journal や AppCompatCache、UserAssist などフォレンジック視点で調査する場合の確認方法についても記載しています。インシデント調査にぜひご活用ください。
参考文書(日本語)
-
JPCERT/CC
インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書(第2版)公開(2017-11-09)
https://www.jpcert.or.jp/magazine/acreport-ir_research2.html
-
JPCERT/CC
インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書(第2版)
https://www.jpcert.or.jp/research/20171109ac-ir_research2.pdf
Weekly Report 2017-11-15号 に掲載