攻撃者の行動によって残る痕跡を調査(2016-06-28) - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

近年の標的型攻撃では、ネットワーク内のマシンをマルウエアに感染させ、そのマシンを足掛かりに、ネットワーク内の様々なマシンへ侵入あるいはマルウエア感染を拡大して、不正をはたらく事例を多数確認しています。攻撃者は、ネットワーク内の様々なマシンへ侵入あるいはマルウエア感染を拡大させるために、攻撃の一環として送り込んだツールや、Windows OSに標準で準備されているコマンドを使用します。
一方、インシデント調査では、攻撃者が使用した鍵となるツールやコマンドが実行された形跡をログ情報の中から探し出しながら、推測される攻撃の経緯を可能な限り詳細に再構築します。その際に、主なツールやコマンドの実行時に、どのようなログが出力され、どのようなファイルが作成されるかをまとめた資料があれば、インシデント調査を効率的に進めることができます。そうした効果を期待して、JPCERT/CCでは、攻撃者がネットワーク内に侵入後に利用する可能性が高いツール、コマンドを調査し、それらを実行した際にどのような痕跡がWindows OS上に残るのかを検証し、「インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書」というタイトルの報告書にまとめて本日公開しました。

インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書
https://www.jpcert.or.jp/research/ir_research.html

この報告書について今回は書きたいと思います。

専門家でなくても使える資料

この報告書は、セキュリティ対策の検討、導入およびインシデントの初期調査を行う担当者にも利用していただけるように、作成しました。専用のフォレンジックソフトウエアや、フォレンジックに関する知識がなくても、イベントログを見たり、レジストリエントリを確認したりする方法が分かれば内容を把握できますので、是非チャレンジしてください。

JPCERT/CCの経験に基づいて精選した実践的な内容

今回調査した44種類のツールおよびコマンド（詳しくは、Appendix Aをご覧ください）は、JPCERT/CCがこれまでに調査した複数のインシデント事例で使用されていたものを中心に選定しています。それらのツールおよびコマンドは、複数の攻撃者によって使用されていると推測され、読者の皆さんがインシデントを調査する時にも遭遇する可能性が高いものだと言えます。

詳細な調査ができる十分なログを収集しよう

Windows標準設定のままでは、多くのツールやコマンドの実行ログ情報は記録されません。インシデント発生時に、何が起こっていたのかをより詳細に分析するためには、デフォルトの設定で取得できる以上のログを収集できるよう、事前に適切な設定にしておくことが必要です。報告書は、監査ポリシーを設定およびSysmonをインストールすることで、プロセスや通信の詳細なログを取得し、ツールおよびコマンドの実行を記録する方法について説明しています。報告書内で説明した方法以外にも監査アプリケーションを使用するなどして、同様のログを収集し調査することも可能です。監査アプリケーションを利用している場合は、どのようなログが記録されているのかを確認し、ログの活用方法について検討することをお勧めします。

報告書が期待している活用イメージ

今回調査した44種類のツールおよびコマンドが実行された際に記録される情報の詳細が報告書の第3章に記載されています。通常の報告書とは異なり、特に第3章については表形式の記述が続きますので全体を精読することは難しいかも知れません。とりあえずは、ざっと御覧いただく程度にとどめ、インシデント調査時に存在を思い出して辞書としてお使いください。
インシデント調査にあたって、まずは「3.16. ツールの実行成功時に見られる痕跡」を読み返し、攻撃者がよく利用するツールやコマンドとそれらが実行されたかどうかをログ情報から判断する方法を頭に入れてから調査に着手してください。そして、ツールやコマンドが実行された痕跡がログ情報の中に見つかる等したら、「このイベントIDはどんなツールが実行された可能性があるのか」や「もしかしたら、この攻撃ツールが使われたかも知れないけど、どんな情報が記録されるか」を調べるために、この報告書を辞書として参照いただければと思います。

報告書のファイル形式について

今回の調査結果をまとめた報告書はPDF形式で公開しています。今後、ログの参照や検索をしやすくする目的で別の公開方法についても検討していきます。公開形式について希望がありましたら、ご意見をお寄せください。

今後の予定

JPCERT/CCでは、今後さらに別のツールおよびコマンドについても検証を進める予定です。また、今回調査対象としたイベントログやレジストリエントリだけでなく、MFTやジャーナルファイルなどフォレンジック視点で調査する場合の確認方法についても調査していく予定です。「このようなツールを調査してほしい」や「Windowsのこの項目についても調査対象とするべきだ」などの意見がありましたら、ぜひお寄せください。

分析センター朝長秀誠

Appendix A 調査したコマンドおよびツール

表 1: 調査したコマンドおよびツール一覧

分類	コマンドおよびツール
コマンド実行	PsExec
	wmic
	PowerShell
	wmiexec.vbs
	BeginX
	winrm
	at
	winrs
	BITS
パスワード、ハッシュの入手	PWDump7
	Quarks PwDump
	mimikatz
	WCE
	gsecdump
	lslsass
	Find-GPOPasswords.ps1
	Mail PassView
	WebBrowserPassView
	Remote Desktop PassView
	PWDumpX
通信の不正中継（パケットトンネリング）	Htran
通信の不正中継（パケットトンネリング）	Fake wpad
リモートログイン	RDP
Pass-the-hash Pass-the-ticket	WCE
Pass-the-hash Pass-the-ticket	mimikatz
SYSTEM権限に昇格	MS14-058 Exploit
SYSTEM権限に昇格	MS15-078 Exploit
権限昇格	SDB UAC Bypass
ドメイン管理者権限アカウントの奪取	MS14-068 Exploit
	Golden Ticket (mimikatz)
	Silver Ticket (mimikatz)
Active Directoryデータベースの奪取（ドメイン管理者ユーザの作成、もしくは管理者グループに追加）	ntdsutil
Active Directoryデータベースの奪取（ドメイン管理者ユーザの作成、もしくは管理者グループに追加）	vssadmin
ローカルユーザー・グループの追加・削除	net user
ファイル共有	net use
	net share
	icacls
痕跡の削除	sdelete
痕跡の削除	timestomp
イベントログの削除	wevtutil
アカウント情報の取得	csvde
	ldifde
	dsquery

朝長秀誠 (Shusei Tomonaga)

外資系ITベンダーでのセキュリティ監視・分析業務を経て、2012年12月から現職。現在は、マルウェア分析・フォレンジック調査に従事。主に、標的型攻撃に関するインシデント分析を行っている。CODE BLUE、BsidesLV、BlackHat USA Arsenal、Botconf、PacSec、FIRSTなどで講演。JSACオーガナイザー。