【概要】
■コマンド実行
| ATT&CK ID |
ツール名 |
備考 |
|---|---|---|
| S0029 | PsExec | |
| wmic | ||
| PowerShell | ||
| wmiexec.vbs | ||
| BeginX | ||
| winrm | ||
| S0110 | at | |
| winrs | ||
| BITS |
■パスワード、ハッシュの入手
| ATT&CK ID |
ツール名 |
備考 |
|---|---|---|
| PWDump7 | ||
| PWDumpX | ||
| Quarks PwDump | ||
| S0002 | Mimikatz | パスワード解読 |
| S0002 | Mimikatz | チケット入手 |
| S0005 | WCE | |
| S0008 | gsecdump | |
| S0121 | lslsass | |
| Find-GPOPasswords.ps1 | ||
| Mail PassView | ||
| WebBrowserPassView | ||
| Remote Desktop PassView |
■通信の不正中継
| ATT&CK ID |
ツール名 |
備考 |
|---|---|---|
| Htran | 中継ツール | |
| Fake wpad |
■リモートログイン
| ATT&CK ID |
ツール名 |
備考 |
|---|---|---|
| RDP |
■Pass-the-hashおよびPass-the-ticket
| ATT&CK ID |
ツール名 |
備考 |
|---|---|---|
| S0005 | WCE | |
| S0002 | Mimikatz |
■システム権限への昇格
| ATT&CK ID |
ツール名 |
備考 |
|---|---|---|
| MS14-058 Exploit | ||
| MS15-078 Exploit |
■権限昇格
| ATT&CK ID |
ツール名 |
備考 |
|---|---|---|
| SDB UAC Bypass |
■ドメイン管理者権限アカウントの奪取
| ATT&CK ID |
ツール名 |
備考 |
|---|---|---|
| MS14-068 Exploit | ||
| Golden Ticket | Mimikatz | |
| Silver Ticket | Mimikatz |
■Active Directoryデータベースの奪取
| ATT&CK ID |
ツール名 |
備考 |
|---|---|---|
| ntdsutil | ||
| vssadmin |
■ローカルユーザー・グループの追加・削除
| ATT&CK ID |
ツール名 |
備考 |
|---|---|---|
| net user |
■ファイル共有
| ATT&CK ID |
ツール名 |
備考 |
|---|---|---|
| net use | ||
| net share | ||
| icacls |
■痕跡の削除
| ATT&CK ID |
ツール名 |
備考 |
|---|---|---|
| sdelete | ||
| timestomp |
■イベントログの削除
| ATT&CK ID |
ツール名 |
備考 |
|---|---|---|
| S0645 | wevtutil |
■アカウント情報の取得
| ATT&CK ID |
ツール名 |
備考 |
|---|---|---|
| csvde | ||
| ldifde | ||
| dsquery |
【公開情報】
◆インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書 (JPCERT/CC, 2017/06/12)
http://www.jpcert.or.jp/research/ir_research.html
