ツール分析結果シートのアップデート
Windowsにおける防御機構は高度化しているものの、攻撃者の手法や使用するツールも進化しており、結果として攻撃によるActive Directory(AD)環境の侵害が継続しています。 JPCERT/CCでは、2017年に、ネットワーク内部に侵入した攻撃者が悪用する可能性が高いツールを実行した際にWindowsに記録されるログを調査し、ツール分析結果シートとして公開しました[1]。その後のAD環境の変化や攻撃者の手法・使用するツールの変化を踏まえ、この度、ツール分析結果シートを現在の状況に合わせた内容へとアップデートしました。具体的には、Windows11(version 24H2)およびWindows Server 2025を対象とし、対象のツール、コマンドを拡充しました。
ツール分析結果シート
https://jpcertcc.github.io/ToolAnalysisResultSheet_jp
ツール分析結果シートの概要
ツール分析結果シートは、攻撃を受けた場合にツールの実行に伴ってログに残される痕跡を確認・分析することを目的としたものです。ネットワーク内部に侵入した攻撃者が悪用する可能性が高い60個のコマンド、ツールを実行した際に、どのようなログがWindowsに記録されるのかを調査し、本シートで対象とする攻撃ツール、コマンドをAppendixの表1に記載しています。また、対象とするログは次のとおりです。
- イベントログ(監査ポリシーを有効化)
- 実行履歴
- Prefetch
- Sysmonログ
- その他ツール実行時に痕跡となるもの
また、2017年に検証したツール等に対しても、その後の環境の変化を踏まえ、Windows11(version 24H2)およびWindows Server 2025を含めた次のOSでの動作可否について記載しています。
- Client OS
- Windows 7
- Windows 8
- Windows 8.1
- Windows 10
- Windows 11
- Server OS
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
- Windows Server 2022
- Windows Server 2025
インシデント調査におけるツール分析結果シートの活用方法
本シートの活用方法の一例として、インシデント調査時に確認された特徴的なイベントログのイベントIDやファイル名、レジストリエントリなどをキーに検索することで、実行された可能性があるツールを探す、という使い方が考えられます。
例えば、インシデント調査時にはイベントログ「セキュリティ」に何か不審なログがないか確認することが多いですが、その確認において「イベント ID: 4663(オブジェクトへのアクセスが試行されました)」が見つかり、「192.168.1.x-PWHashes.txt」というファイルが一時的に作成された痕跡があったとします(監査ポリシーを有効化が必要)。次に、この特徴的な「PWHashes.txt」という文字列で図1のように「ツール分析結果シート」を検索することで、PWDumpXを実行した際に作成されるファイルであることが分かります。また、「[宛先アドレス]-PWHashes.txt」という名前の一時ファイルが作成されていたことから、IPアドレス192.168.1.xのサーバー上のパスワードハッシュを入手する攻撃が実行されたと推測されることが分かります(IPアドレス192.168.1.xは説明用の例であり、実在の環境とは関係ありません)。
ログを分析する中で「このイベントIDはどんなツールが実行された可能性があるのか」や「もしかしたら、この攻撃ツールが使われたかもしれないけれど、どんな情報が記録されるのか」を調べる上で、本シートはツールやコマンドの実行痕跡に対する辞書として活用できます。
ツール分析結果シートのJSONデータの公開
本シートでは、JSONファイルも公開しています。JSONファイルを活用することで、より機械的な活用や、ツール分析結果シートの参照・検索が容易になると思います。
ツール分析結果シートのJSONファイル
https://github.com/JPCERTCC/ToolAnalysisResultSheet_jp/tree/master/JSON
おわりに
ツール分析結果シートがインシデント調査に少しでも役立てば幸いです。また、記載内容に不備やご意見がございましたら、ぜひお寄せください。JPCERT/CCでは、今後さらに悪用されたツールおよびコマンドの検知方法などについても検証を進める予定です。
サイバーセキュリティコーディネーショングループ 増渕 維摩
参考情報
[1] JPCERT/CC Eyes「インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書(第2版)公開(2017-11-09)」
https://blogs.jpcert.or.jp/ja/2017/11/ir_research2.html
Appendix
表1. 対象のツール一覧
| カテゴリー | ツール |
|---|---|
| コマンド実行 | BeginX |
| BITS | |
| PsExec | |
| schtasks | |
| WinRM | |
| WinRS | |
| wmic | |
| wmiexec.vbs | |
| パスワード、ハッシュの入手 | AceHash |
| Find-GPOPasswords | |
| gsecdump | |
| lslsass | |
| Mimikatz (lsadump::sam) | |
| Mimikatz (sekurlsa::logonpasswords) | |
| Mimikatz (sekurlsa::tickets) | |
| PowerMemory | |
| PowerMemory (key 6) | |
| Get-GPPPassword | |
| Invoke-Mimikatz | |
| Out-Minidump | |
| PwDump7 | |
| PwDump8 | |
| PWDumpX | |
| Quarks PwDump | |
| WCE | |
| WebBrowserPassView | |
| 通信の不正中継 | Fake WPAD |
| Htran | |
| NTLMRelayX | |
| リモートログイン | RDP |
| Pass-the-hash / Pass-the-ticket | Mimikatz (Pass-the-Hash) |
| WCE(リモートログイン) | |
| Overpass-the-hash | |
| Pass-the-PRT | |
| Diamond Ticket | |
| 権限昇格 | MS14-058 |
| MS15-078 | |
| SDB UAC Bypass | |
| BadSuccessor | |
| ドメイン管理者権限アカウントの奪取 | MS14-068 |
| Mimikatz (Golden Ticket) | |
| Mimikatz (Silver Ticket) | |
| DCSync | |
| DCShadow | |
| 情報収集 | csvde |
| dcdiag | |
| dsquery | |
| ldifde | |
| nltest | |
| nmap | |
| ntdsutil | |
| AzureHound | |
| SharpHound | |
| ローカルユーザー・グループの追加・削除 | net user |
| ファイル共有 | net use |
| 痕跡の削除 | klist purge |
| sdelete | |
| timestomp | |
| vssadmin | |
| wevtutil |
