【概要】
■コマンド実行
ATT&CK ID |
ツール名 |
備考 |
---|---|---|
S0029 | PsExec | |
wmic | ||
PowerShell | ||
wmiexec.vbs | ||
BeginX | ||
winrm | ||
S0110 | at | |
winrs | ||
BITS |
■パスワード、ハッシュの入手
ATT&CK ID |
ツール名 |
備考 |
---|---|---|
PWDump7 | ||
PWDumpX | ||
Quarks PwDump | ||
S0002 | Mimikatz | パスワード解読 |
S0002 | Mimikatz | チケット入手 |
S0005 | WCE | |
S0008 | gsecdump | |
S0121 | lslsass | |
Find-GPOPasswords.ps1 | ||
Mail PassView | ||
WebBrowserPassView | ||
Remote Desktop PassView |
■通信の不正中継
ATT&CK ID |
ツール名 |
備考 |
---|---|---|
Htran | 中継ツール | |
Fake wpad |
■リモートログイン
ATT&CK ID |
ツール名 |
備考 |
---|---|---|
RDP |
■Pass-the-hashおよびPass-the-ticket
ATT&CK ID |
ツール名 |
備考 |
---|---|---|
S0005 | WCE | |
S0002 | Mimikatz |
■システム権限への昇格
ATT&CK ID |
ツール名 |
備考 |
---|---|---|
MS14-058 Exploit | ||
MS15-078 Exploit |
■権限昇格
ATT&CK ID |
ツール名 |
備考 |
---|---|---|
SDB UAC Bypass |
■ドメイン管理者権限アカウントの奪取
ATT&CK ID |
ツール名 |
備考 |
---|---|---|
MS14-068 Exploit | ||
Golden Ticket | Mimikatz | |
Silver Ticket | Mimikatz |
■Active Directoryデータベースの奪取
ATT&CK ID |
ツール名 |
備考 |
---|---|---|
ntdsutil | ||
vssadmin |
■ローカルユーザー・グループの追加・削除
ATT&CK ID |
ツール名 |
備考 |
---|---|---|
net user |
■ファイル共有
ATT&CK ID |
ツール名 |
備考 |
---|---|---|
net use | ||
net share | ||
icacls |
■痕跡の削除
ATT&CK ID |
ツール名 |
備考 |
---|---|---|
sdelete | ||
timestomp |
■イベントログの削除
ATT&CK ID |
ツール名 |
備考 |
---|---|---|
S0645 | wevtutil |
■アカウント情報の取得
ATT&CK ID |
ツール名 |
備考 |
---|---|---|
csvde | ||
ldifde | ||
dsquery |
【公開情報】
◆インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書 (JPCERT/CC, 2017/06/12)
http://www.jpcert.or.jp/research/ir_research.html