【資料】
◆インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書 (JPCERT/CC, 2016/06/28)
http://www.jpcert.or.jp/research/20160628ac-ir_research.pdf
【関連まとめ記事】
◆Pass-the-Hash (まとめ)
https://malware-log.hatenablog.com/entry/Pass-the-Hash
【イベントID】
■セキュリティログ
| EventID | 備考 |
|---|---|
| 4624 | アカウントが正常にログオンしました |
| 4634 | アカウントが正常にログオフしました |
| 4648 | 明示的な資格情報を使用してログオンが試行されました |
| 4656 | オブジェクトに対するハンドルが要求されました |
| 4658 | オブジェクトに対するハンドルが閉じました |
| 4660 | オブジェクトが削除されました |
| 4663 | オブジェクトへのアクセスが試行されました |
| 4720 | ユーザー アカウントが作成されました |
| 4768 | Kerberos認証チケット(TGT)が要求されました |
| 4769 | Kerberosサービス チケットが要求されました |
| 4672 | 新しいログオンに特権を割り当てました(4624の後に発生) |
| 4673 | 特権のあるサービスが呼び出されました |
| 4688 | 新しいプロセスが作成されました |
| 4689 | プロセスが終了しました |
| 4698 | スケジュールされたタスクが作成されました |
| 4769 | Kerberosサービス チケットが要求されました |
| 4673 | 特権のあるサービスが呼び出されました |
| 4946 | Windows ファイアウォールの例外の一覧が変更されました(ファイアウォールへの設定変更) |
| 5140 | ネットワーク共有オブジェクトにアクセスしました |
| 5142 | ネットワーク共有オブジェクトが追加されました |
| 5144 | ネットワーク共有オブジェクトが削除されました |
| 5145 | ネットワーク共有オブジェクトに対する、クライアントのアクセス権をチェックしました(同イベントIDは数度記録される |
| 5154 | Windows フィルターリング プラットフォームで、アプリケーションまたはサービスによるポートでの着信接続のリッスンが許可されました |
| 5156 | フィルタリング プラットフォームによる接続の許可 |
| 5447 | Windows フィルターリング プラットフォームのフィルターが変更されました(ファイアウォールへの設定変更) |
| 8222 | シャドウ コピーが作成されました |
■システムログ
| EventID | 備考 |
|---|---|
| 7036 | サービスの状態が移行しました |
| 7045 | サービスがシステムにインストールされました |
| 20001 |
■アプリケーションログ
| EventID | 備考 |
|---|---|
| 21 | リモートデスクトップ セッション ログオン成功) |
| 24 | リモートデスクトップ セッション 切断) |
| 60 | |
| 80 | 操作 Get の要求を送信しています |
| 81 | 要求の処理 |
| 106 | タスクが登録されました |
| 129 | タスクのプロセスが作成されました |
| 132 | WSMan の操作 Get が正常に完了しました |
| 143 | ネットワーク レイヤーから応答を受信しました |
| 166 | 選択された認証機構 |
| 200 | 開始された操作 |
| 201 | 操作が完了しました |
| 500 | 互換性修正プログラムが適用されています |
■Sysmon
| EventID | 備考 |
|---|---|
| 1 | Process Create |
| 2 | File creation time changed |
| 5 | Process Terminated |
| 8 | CreateRemoteThread detected: |
| 9 | RawAccessRead detected (ディスクの直接読み取りを検知) |
■レジストリ
| EventID | 備考 | |
|---|---|---|
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules | Windowsファイアウォールの設定が変更 | |
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\BITS | サービスの状態を確認可能 | |
| HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySetting | ||
| HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSetti | ||
| HKEY_USERS\[SID]\Software\Microsoft\Terminal Server Client\Default\ | リモートデスクトップの接続履歴 | |
| HKEY_USERS\[SID]\Software\Microsoft\Terminal Server Client\Servers\[接続先IPアドレス]\ | 最後にアクセスしたアカウントドメイン及びユーザ | |
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{[GUID]}.sdb | ||
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Custom\{[UAC回避に使用されるアプリケーション名]} | ||
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\InstalledSDB\{[GUID] | ||
| HKEY_LOCAL_MACHINE\CurrentControlSet\Enum\STORAGE\VolumeSnapshot\HarddiskVolumeSnapshot[Snapshot番号] | ||
| HKEY_USERS\[SID]\Software\Sysinternals\Sdelete | 最初の使用時の同意 |
