TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書

【資料】

◆インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書 (JPCERT/CC, 2016/06/28)
http://www.jpcert.or.jp/research/20160628ac-ir_research.pdf


【関連まとめ記事】

全体まとめ
 ◆攻撃手法 (まとめ)

◆Pass-the-Hash (まとめ)
https://malware-log.hatenablog.com/entry/Pass-the-Hash


【イベントID】

■セキュリティログ

EventID 備考
4624 アカウントが正常にログオンしました
4634 アカウントが正常にログオフしました
4648 明示的な資格情報を使用してログオンが試行されました
4656 オブジェクトに対するハンドルが要求されました
4658 オブジェクトに対するハンドルが閉じました
4660 オブジェクトが削除されました
4663 オブジェクトへのアクセスが試行されました
4720 ユーザー アカウントが作成されました
4768 Kerberos認証チケット(TGT)が要求されました
4769 Kerberosサービス チケットが要求されました
4672 新しいログオンに特権を割り当てました(4624の後に発生)
4673 特権のあるサービスが呼び出されました
4688 新しいプロセスが作成されました
4689 プロセスが終了しました
4698 スケジュールされたタスクが作成されました
4769 Kerberosサービス チケットが要求されました
4673 特権のあるサービスが呼び出されました
4946 Windows ファイアウォールの例外の一覧が変更されました(ファイアウォールへの設定変更)
5140 ネットワーク共有オブジェクトにアクセスしました
5142 ネットワーク共有オブジェクトが追加されました
5144 ネットワーク共有オブジェクトが削除されました
5145 ネットワーク共有オブジェクトに対する、クライアントのアクセス権をチェックしました(同イベントIDは数度記録される
5154 Windows フィルターリング プラットフォームで、アプリケーションまたはサービスによるポートでの着信接続のリッスンが許可されました
5156 フィルタリング プラットフォームによる接続の許可
5447 Windows フィルターリング プラットフォームのフィルターが変更されました(ファイアウォールへの設定変更)
8222 シャドウ コピーが作成されました


■システムログ

EventID 備考
7036 サービスの状態が移行しました
7045 サービスがシステムにインストールされました
20001


■アプリケーションログ

EventID 備考
21 リモートデスクトップ セッション ログオン成功)
24 リモートデスクトップ セッション 切断)
60
80 操作 Get の要求を送信しています
81 要求の処理
106 タスクが登録されました
129 タスクのプロセスが作成されました
132 WSMan の操作 Get が正常に完了しました
143 ネットワーク レイヤーから応答を受信しました
166 選択された認証機構
200 開始された操作
201 操作が完了しました
500 互換性修正プログラムが適用されています


■Sysmon

EventID 備考
1 Process Create
2 File creation time changed
5 Process Terminated
8 CreateRemoteThread detected:
9 RawAccessRead detected (ディスクの直接読み取りを検知)


■レジストリ

EventID 備考
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules Windowsファイアウォールの設定が変更
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\BITS サービスの状態を確認可能
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySetting
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSetti
HKEY_USERS\[SID]\Software\Microsoft\Terminal Server Client\Default\ リモートデスクトップの接続履歴
HKEY_USERS\[SID]\Software\Microsoft\Terminal Server Client\Servers\[接続先IPアドレス]\ 最後にアクセスしたアカウントドメイン及びユーザ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{[GUID]}.sdb
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Custom\{[UAC回避に使用されるアプリケーション名]}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\InstalledSDB\{[GUID]
HKEY_LOCAL_MACHINE\CurrentControlSet\Enum\STORAGE\VolumeSnapshot\HarddiskVolumeSnapshot[Snapshot番号]
HKEY_USERS\[SID]\Software\Sysinternals\Sdelete 最初の使用時の同意

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2020