【資料】
◆インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書 (JPCERT/CC, 2016/06/28)
http://www.jpcert.or.jp/research/20160628ac-ir_research.pdf
【関連まとめ記事】
◆Pass-the-Hash (まとめ)
https://malware-log.hatenablog.com/entry/Pass-the-Hash
【イベントID】
■セキュリティログ
EventID | 備考 |
---|---|
4624 | アカウントが正常にログオンしました |
4634 | アカウントが正常にログオフしました |
4648 | 明示的な資格情報を使用してログオンが試行されました |
4656 | オブジェクトに対するハンドルが要求されました |
4658 | オブジェクトに対するハンドルが閉じました |
4660 | オブジェクトが削除されました |
4663 | オブジェクトへのアクセスが試行されました |
4720 | ユーザー アカウントが作成されました |
4768 | Kerberos認証チケット(TGT)が要求されました |
4769 | Kerberosサービス チケットが要求されました |
4672 | 新しいログオンに特権を割り当てました(4624の後に発生) |
4673 | 特権のあるサービスが呼び出されました |
4688 | 新しいプロセスが作成されました |
4689 | プロセスが終了しました |
4698 | スケジュールされたタスクが作成されました |
4769 | Kerberosサービス チケットが要求されました |
4673 | 特権のあるサービスが呼び出されました |
4946 | Windows ファイアウォールの例外の一覧が変更されました(ファイアウォールへの設定変更) |
5140 | ネットワーク共有オブジェクトにアクセスしました |
5142 | ネットワーク共有オブジェクトが追加されました |
5144 | ネットワーク共有オブジェクトが削除されました |
5145 | ネットワーク共有オブジェクトに対する、クライアントのアクセス権をチェックしました(同イベントIDは数度記録される |
5154 | Windows フィルターリング プラットフォームで、アプリケーションまたはサービスによるポートでの着信接続のリッスンが許可されました |
5156 | フィルタリング プラットフォームによる接続の許可 |
5447 | Windows フィルターリング プラットフォームのフィルターが変更されました(ファイアウォールへの設定変更) |
8222 | シャドウ コピーが作成されました |
■システムログ
EventID | 備考 |
---|---|
7036 | サービスの状態が移行しました |
7045 | サービスがシステムにインストールされました |
20001 |
■アプリケーションログ
EventID | 備考 |
---|---|
21 | リモートデスクトップ セッション ログオン成功) |
24 | リモートデスクトップ セッション 切断) |
60 | |
80 | 操作 Get の要求を送信しています |
81 | 要求の処理 |
106 | タスクが登録されました |
129 | タスクのプロセスが作成されました |
132 | WSMan の操作 Get が正常に完了しました |
143 | ネットワーク レイヤーから応答を受信しました |
166 | 選択された認証機構 |
200 | 開始された操作 |
201 | 操作が完了しました |
500 | 互換性修正プログラムが適用されています |
■Sysmon
EventID | 備考 |
---|---|
1 | Process Create |
2 | File creation time changed |
5 | Process Terminated |
8 | CreateRemoteThread detected: |
9 | RawAccessRead detected (ディスクの直接読み取りを検知) |
■レジストリ
EventID | 備考 | |
---|---|---|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules | Windowsファイアウォールの設定が変更 | |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\BITS | サービスの状態を確認可能 | |
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySetting | ||
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSetti | ||
HKEY_USERS\[SID]\Software\Microsoft\Terminal Server Client\Default\ | リモートデスクトップの接続履歴 | |
HKEY_USERS\[SID]\Software\Microsoft\Terminal Server Client\Servers\[接続先IPアドレス]\ | 最後にアクセスしたアカウントドメイン及びユーザ | |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{[GUID]}.sdb | ||
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Custom\{[UAC回避に使用されるアプリケーション名]} | ||
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\InstalledSDB\{[GUID] | ||
HKEY_LOCAL_MACHINE\CurrentControlSet\Enum\STORAGE\VolumeSnapshot\HarddiskVolumeSnapshot[Snapshot番号] | ||
HKEY_USERS\[SID]\Software\Sysinternals\Sdelete | 最初の使用時の同意 |