TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究ログ

JPCERT/CC、サイバー攻撃者御用達44ツールを解説 - インシデント調査に役立つ報告書

【概要】

  • コマンド実行
    • PsExec
    • wmic
    • PowerShell
    • wmiexec.vbs
    • BeginX
    • winrm
    • at
    • winrs
    • BITS
  • パスワード、ハッシュの入手
    • PWDump7
    • PWDumpX
    • Quarks PwDump
    • Mimikatz (パスワードハッシュ入手)
    • Mimikatz (チケット入手)
    • WCE
    • gsecdump
    • lslsass
    • Find-GPOPasswords.ps1
    • Mail PassView
    • WebBrowserPassView
    • Remote Desktop PassView
  • 通信の不正中継
    • Htran (中継ツール)
    • Fake wpad
  • リモートログイン
    • RDP
  • Pass-the-hashおよびPass-the-ticket
  • システム権限への昇格
  • 権限昇格
    • SDB UAC Bypass
  • ドメイン管理者権限アカウントの奪取
    • MS14-068 Exploit
    • Golden Ticket(Mimikatz)
    • Silver Ticket(Mimikatz)
  • ローカルユーザー・グループの追加・削除
    • net user
  • ファイル共有
    • net use
    • net share
    • icacls
  • 痕跡の削除
    • sdelete
    • timestomp
  • イベントログの削除
    • wevtutil|
  • アカウント情報の取得
    • csvde
    • ldifde
    • dsquery

【ニュース】

JPCERT/CCサイバー攻撃者御用達44ツールを解説 - インシデント調査に役立つ報告書 (Security NEXT, 2016/06/28)
http://www.security-next.com/071477


【公開情報】

◆インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書 (JPCERT/CC, 2017/06/12)
http://www.jpcert.or.jp/research/ir_research.html


【資料】

◆インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書 (JPCERT/CC, 2016/06/28)
http://www.jpcert.or.jp/research/20160628ac-ir_research.pdf

◆Detecting Lateral Movement through Tracking Event Logs (JPCERT/CC, 2017/06/12)
http://www.jpcert.or.jp/english/pub/sr/20170612ac-ir_research_en.pdf


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2019