JPCERT/CC Eyes

JPCERT/CCでは、2016年6月に攻撃者がネットワーク内に侵入後に利用する可能性が高いツール、コマンドを調査し、それらを実行した際にどのような痕跡がWindows OS上に残るのかを検証した結果をまとめたレポート「インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書」を公開しました。その後、多くのご意見をいただいたことから、レポートのアップデート作業を行ってきました。
そして本日、本レポートのアップデート版を公開しましたのでお知らせします。

• インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書（第2版）
  https://www.jpcert.or.jp/research/20171109ac-ir_research2.pdf
• ツール分析結果シート
  https://jpcertcc.github.io/ToolAnalysisResultSheet_jp/

この報告書のアップデート内容について紹介します。

レポートのアップデート内容
本レポートは、攻撃に使用されることが多いツールやコマンドの実行時に、どのようなログが出力され、どのようなファイルが作成されるかをまとめた資料であり、インシデント調査に活用できるものになっています。以前のレポートでは、イベントログおよびレジストリエントリの調査が中心でしたが、今回のアップデートではUSN JournalやAppCompatCache、UserAssistなどフォレンジック視点で調査する場合の確認方法についても記載しています。
その他のアップデートは以下の通りです。

• Windows 10を用いた検証
• Sysmonバージョン5を用いた検証
• 調査対象となる証跡の追加
  → USN Journal、AppCompatCache、UserAssistなど
• ネットワーク通信の調査
  → プロキシ、ファイアウォールなど
• 調査対象ツールの追加・入れ替え
• ツール分析結果のHTML化

なお、今回調査した49種類のツールおよびコマンドについては、Appendix Aをご覧ください。

レポートの形式
以前のレポートは1つのPDFでしたが、今回から「報告書」と「ツール分析結果シート」の2つにわかれています。「報告書」には、本レポートの調査方法や活用方法、使用する上での注意点などが書かれています。「ツール分析結果シート」には、具体的な49種類のツールおよびコマンドが実行された際に記録される情報の詳細が記載されています。
本レポートを実際に使用する際は、まず「報告書」に記載されている注意事項やレポートを使用した調査方法などを確認したうえで、「ツール分析結果シート」を見ることをお勧めします。

おわりに
我々が攻撃手法について理解を深めるのと同時に、攻撃者は次の新しい攻撃手法を生み出しています。本レポートは、そのような動きに今後も対応していく予定です。「このようなツールを調査してほしい」や「Windowsのこの項目についても調査対象とするべきだ」などの意見がありましたら、ぜひお寄せください。

分析センター 朝長 秀誠

Appendix A 調査したコマンドおよびツール

表 1: 調査したコマンドおよびツール一覧