| ID |
名称 |
説明 |
| S0552 |
AdFind |
AdFindは、Active Directoryからの情報収集に使用できる、無料のコマンドライン・クエリ・ツールです |
| S0110 |
at |
atは、システム上のタスクを指定した日付や時間に実行するようにスケジュールするために使用します |
| S0521 |
BloodHound |
BloodHoundは、Active Directory(AD)の偵察ツールであり、AD環境内の隠れた関係を明らかにし、攻撃経路を特定することができます |
| S0119 |
Cachedump |
Cachedumpは、システムのレジストリからキャッシュされたパスワードハッシュを抽出するプログラムで、一般に公開されているツールです |
| S0106 |
cmd |
cmdはWindowsのコマンドラインインタプリタで、システムとの対話や、他のプロセスやユーティリティの実行に使用されます。 |
| S0154 |
Cobalt Strike |
Cobalt Strikeは、フル機能を備えた商用のリモート・アクセス・ツールで、「標的攻撃を実行し、高度な脅威アクターの侵入後の行動をエミュレートするために設計された敵対者シミュレーション・ソフトウェア」と自称しています。Cobalt Strikeのインタラクティブなポスト・エクスプロイト機能は、単一の統合されたシステム内で実行されるATT&CK戦術の全範囲をカバーしています。 |
| S0363 |
Empire |
Empireは、GitHubで公開されている、オープンソースでクロスプラットフォームのリモート管理およびポストエクスプローラーのフレームワークです。ツール自体は主にPythonで記述されていますが、ポストエクスプロイトエージェントは、Windowsでは純粋なPowerShell、Linux/macOSではPythonで記述されています。Empireは、敵が広く使用している公共のハッキングツールに関する共同報告書で選ばれた5つのツールの1つです |
| S0120 |
Fgdump |
Fgdumpは、Windowsのパスワードハッシュダンパです |
| S0173 |
FLIPSIDE |
FLIPSIDEは、FIN5が被害者へのアクセスを維持するために使用しているPlinkに似たシンプルなツールです |
| S0193 |
Forfiles |
Forfilesは、一般的にバッチジョブで使用されるWindowsユーティリティで、1つ以上の選択されたファイルやディレクトリに対してコマンドを実行します(例:ドライブ内のすべてのディレクトリをリストアップする、昨日作成されたすべてのファイルの最初の行を読み取る、など)。Forfilesは、コマンドライン、実行ウィンドウ、バッチファイル/スクリプトのいずれかから実行できます |
| S0095 |
FTP |
FTPとは、ファイル転送プロトコル(FTP)を介して情報を転送するための、オペレーティングシステムで一般的に利用できるユーティリティです。敵対者はこれを利用して、他のツールをシステムに転送したり、データを流出させたりすることができます |
| S0008 |
gsecdump |
gsecdumpは、WindowsオペレーティングシステムからパスワードハッシュやLSAシークレットを取得するために使用される、一般に公開されているクレデンシャルダンパです |
| S0224 |
Havij |
Havijは、イランのセキュリティ企業であるITSecTeamが配布している自動SQLインジェクションツールです。Havijはペネトレーションテストや敵対者によって使用されています |
| S0232 |
HOMEFRY |
HOMEFRYは64ビットのWindows用パスワードダンパ/クラッカーで、以前は他のLeviathanバックドアと組み合わせて使用されていました |
| S0101 |
ifconfig |
ifconfigはUnixベースのユーティリティで、システムのTCP/IP設定に関する情報を収集したり、操作したりするのに使われます |
| S0278 |
iKitten |
iKittenは、macOSの侵入エージェントです |
| S0357 |
Impacket |
Impacketは、ネットワークプロトコルをプログラムで構築、操作するためのPythonで書かれたモジュールのオープンソースコレクションです。Impacketには、リモートサービスの実行、Kerberosの操作、Windowsのクレデンシャルダンピング、パケットスニッフィング、リレー攻撃などのツールが含まれています |
| S0231 |
Invoke-PSImage |
Invoke-PSImageは、PowerShellスクリプトを受け取り、そのスクリプトのバイトをPNG画像のピクセルに埋め込みます。これにより、ファイルやウェブから実行するためのワンライナーが生成されます。使用例としては、Invoke-MimikatzモジュールのPowerShellコードを画像ファイルに埋め込んでいます。例えばマクロから画像ファイルを呼び出すと、マクロは画像をダウンロードしてPowerShellコードを実行し、この場合はパスワードをダンプします |
| S0100 |
ipconfig |
ipconfigは、システムのTCP/IP、DNS、DHCP、アダプタの設定に関する情報を検索するために使用できるWindowsユーティリティです |
| S0581 |
IronNetInjector |
IronNetInjectorは、オープンソースのPythonの実装であるIronPythonのスクリプトを.NETインジェクターで利用し、ComRATを含む1つ以上のペイロードを投下するTurlaツールチェーンです |
| S0487 |
Kessel |
Kesselは、カスタム バックドアとして動作するOpenSSHの高度なバージョンで、主に認証情報を盗み出し、ボットとして機能するように作用します。Kesselは、そのC2ドメインが2018年8月に解決し始めて以来、活発に活動しています |
| S0526 |
KGH_SPY |
KGH_SPYは、Kimsukyが偵察、情報窃盗、バックドア機能のために使用するツールのモジュラー・スイートです。KGH_SPYの名前は、"KGH "を含むサンプルに見られるPDBパスと内部名称に由来しています |
| S0607 |
KillDisk |
KillDiskは、ファイルをランダムなデータで上書きしてOSを起動不能にするよう設計されたディスクワイプツールです。KillDiskは、2015年のウクライナへのサイバー攻撃において、BlackEnergyマルウェアのコンポーネントとして初めて観測されました。その後、KillDiskは独立したマルウェアに進化し、ヨーロッパやラテンアメリカの標的に対して様々な脅威者が使用しています |
| S0250 |
Koadic |
Koadicは、Windowsのポストエクスプロイトフレームワークとペネトレーションテストツールです。KoadicはGitHubで公開されており、ツールはコマンドラインで実行されます。Koadicには、ペイロードをステージングしてインプラントを作成するためのいくつかのオプションがあります。KoadicはWindows Script Hostを使ってほとんどの操作を行います |
| S0356 |
KONNI |
KONNIは、2014年から使用が確認され、少なくとも2017年までは機能が進化しているWindowsのリモート管理ツールです。KONNIは、北朝鮮をテーマにしたいくつかのキャンペーンに関連しています。KONNIは、NOKKIマルウェアファミリーとコードが大きく重複しています。KONNIとAPT37を結びつける可能性のある証拠がいくつかあります |
| S0349 |
LaZagne |
LaZagneは、システムに保存されているパスワードを回復するために使用される、搾取後のオープンソースのツールです。Windows、Linux、OSX用のモジュールが用意されていますが、主にWindowsシステムに焦点を当てています。LaZagneはGitHubで公開されています。 |
| S0121 |
Lslsass |
Lslsassは、アクティブなログオンセッションのパスワードハッシュをlsassプロセスからダンプすることができる一般に公開されているツールです |
| S0409 |
Machete |
マチェーテは、マチェーテが使用するサイバースパイのツールセットです。WindowsマシンをターゲットにしたPythonベースのバックドアで、2010年に初めて観測されました |
| S0413 |
MailSniper |
MailSniperは、Microsoft Exchange環境の電子メールから特定の用語(パスワード、インサイダー情報、ネットワークアーキテクチャ情報など)を検索するペネトレーションテストツールです。管理者ではないユーザーが自分のメールを検索したり、Exchange管理者がドメイン内のすべてのユーザーのメールボックスを検索したりするのに使用できます。 |
| S0175 |
meek |
meekはオープンソースのTorプラグインで、TorのトラフィックをHTTPS接続でトンネリングします |
| S0002 |
Mimikatz |
Mimikatzは、平文のWindowsアカウントのログイン名とパスワードを取得できるクレデンシャル・ダンパで、ネットワークのセキュリティをテストするのに便利な多くの機能を備えています |
| S0179 |
MimiPenguin |
MimiPenguinは、Mimikatzに似たクレデンシャル・ダンパで、特にLinuxプラットフォーム用に設計されています |
| S0233 |
MURKYTOP |
MURKYTOPは、Leviathanが使用している偵察ツールです |
| S0637 |
NativeZone |
NativeZoneとは、APT29が少なくとも2021年以降に使用した使い捨てのカスタムCobalt Strikeローダーの総称です |
| S0590 |
NBTscan |
NBTscanは、国家グループが侵害されたネットワーク内で内部偵察を行うために使用されてきたオープンソースのツールです |
| S0102 |
nbtstat |
nbtstatは、NetBIOSの名前解決のトラブルシューティングに使用されるユーティリティです |
| S0039 |
Net |
Net ユーティリティは、Windows オペレーティングシステムのコンポーネントです。ユーザー、グループ、サービス、およびネットワーク接続を制御するためのコマンドライン操作で使用されます |
| S0108 |
netsh |
netsh は、ローカルまたはリモート システムのネットワーク コンポーネントを操作するために使用されるスクリプト ユーティリティです |
| S0104 |
netstat |
netstatは、アクティブなTCP接続、リッスン・ポート、ネットワーク統計を表示するオペレーティングシステム・ユーティリティです |
| S0198 |
NETWIRE |
NETWIREは、一般に公開されているマルチプラットフォームのリモート管理ツール(RAT)で、少なくとも2012年以降、犯罪者やAPTグループに利用されています |
| S0508 |
Ngrok |
Ngrokは、ファイアウォールの背後にあるサーバーや、パブリックIPを持たないローカルマシンにあるサーバーへの安全なトンネルを作ることができる正規のリバースプロキシツールです。Ngrokは、横方向への移動やデータの流出など、いくつかのキャンペーンで脅威となる行為に利用されています |
| S0359 |
Nltest |
Nltestは、ドメインコントローラの一覧表示やドメイントラストの列挙に使用されるWindowsのコマンドラインユーティリティです |
| S0138 |
OLDBAIT |
OLDBAITは、APT28が使用するクレデンシャルハーベスターです |
| S0165 |
OSInfo |
OSInfoは、APT3が被害者のコンピュータやネットワークの内部探索を行うために使用するカスタムツールです |
| S0122 |
Pass-The-Hash Toolkit |
Pass-The-Hash Toolkitは、敵対者が(元のパスワードを知らずに)パスワードのハッシュを「パス」してシステムにログインすることを可能にするツールキットである |
| S0097 |
Ping |
Pingは、ネットワーク接続のトラブルシューティングや検証によく使われるオペレーティングシステムのユーティリティです |
| S0378 |
PoshC2 |
PoshC2は、GitHubで公開されているオープンソースのリモート管理およびポストエクスプロイトフレームワークです。このツールのサーバー側のコンポーネントは主にPythonで書かれており、インプラントはPowerShellで書かれています。PoshC2は主にWindowsへの移植に焦点を当てていますが、Linux/macOS用の基本的なPythonドロッパーも含まれています |
| S0194 |
PowerSploit |
PowerSploitは、PowerShellモジュールとスクリプトで構成されたオープンソースの攻撃的セキュリティフレームワークで、コード実行、パーシステンス、アンチウイルスのバイパス、リコン、エクスフィルトレーションなど、ペネトレーションテストに関連するさまざまなタスクを実行します |
| S0184 |
POWRUNER |
POWRUNERは、C2サーバーとの間でコマンドを送受信するPowerShellスクリプトです |
| S0029 |
PsExec |
PsExecは、他のコンピュータ上でプログラムを実行するために使用できる、無料のMicrosoftツールです。IT管理者や攻撃者に利用されています |
| S0192 |
Pupy |
Pupyは、オープンソースで、クロスプラットフォーム(Windows、Linux、OSX、Android)のリモート管理およびポストエクスプロイトツールです。PupyはPythonで書かれており、ペイロードとしていくつかの異なる方法で生成することができます(Windows exe、Pythonファイル、PowerShell oneliner/file、Linux elf、APK、Rubber Duckyなど)。PupyはGitHubで公開されています |
| S0006 |
pwdump |
pwdumpはクレデンシャル・ダンパです |
| S0241 |
RATANKBA |
RATANKBAは、Lazarus Groupが使用している遠隔操作ツールです。RATANKBAは、ポーランド、メキシコ、ウルグアイ、イギリス、チリの金融機関を標的とした攻撃に使用されました。RATANKBAは、ポーランド、メキシコ、ウルグアイ、イギリス、チリの金融機関を標的とした攻撃に使用されたほか、電気通信、経営コンサルティング、情報技術、保険、航空、教育などに関連する組織でも使用されたことが確認されています。RATANKBAは、攻撃者が感染したマシン上で実行するジョブを発行するためのグラフィカル・ユーザー・インターフェースを備えています |
| S0364 |
RawDisk |
RawDiskは、ファイル、ディスク、パーティションとのやりとりに使われるEldoS社の正規の商用ドライバです。このドライバは、ローカルコンピュータのハードドライブ上のデータを直接変更することができます。場合によっては、このツールは、ユーザーモードのプロセスからこれらのRaw Diskの変更を実行することができ、Windowsオペレーティングシステムのセキュリティ機能を回避することができます |
| S0075 |
Reg |
Reg は、Windows レジストリを操作するための Windows ユーティリティです。コマンドライン・インターフェースを使って、情報の照会、追加、変更、削除を行うことができます |
| S0332 |
Remcos |
Remcosはクローズドソースのツールで、Breaking Securityという会社が遠隔操作や監視のためのソフトウェアとして販売しています。Remcosは、マルウェアのキャンペーンに使用されていることが確認されています |
| S0166 |
RemoteCMD |
RemoteCMDは、APT3が使用するカスタムツールで、SysInternalのPSEXEC機能と同様に、リモートシステム上でコマンドを実行します |
| S0592 |
RemoteUtilities |
RemoteUtilitiesは、少なくとも2021年以降、MuddyWater社がターゲットマシンでの実行に使用してきた正規のリモート管理ツールです |
| S0358 |
Ruler |
Rulerは、Microsoft Exchangeサービスを悪用するためのツールです。GitHubで公開されており、このツールはコマンドラインで実行されます。Rulerの作成者は、その使用を検知するための防御ツール「NotRuler」も公開しています |
| S0633 |
Sliver |
Sliverは、Golangで書かれたオープンソースでクロスプラットフォームのレッドチームのコマンド&コントロールフレームワークです |
| S0646 |
SpicyOmelette |
SpicyOmeletteは、少なくとも2018年からCobalt Groupが使用していたJavaScriptベースのリモートアクセスツールです |
| S0227 |
spwebmember |
spwebmemberは、.NETで書かれたMicrosoft SharePointの列挙とデータダンプのツールです。 |
| S0225 |
sqlmap |
sqlmapは、オープンソースのペネトレーションテストツールで、SQLインジェクションの欠陥を検出して悪用するプロセスを自動化するために使用できます。 |
| S0096 |
Systeminfo |
Systeminfoは、コンピュータの詳細な情報を収集するために使用できるWindowsユーティリティです |
| S0586 |
TAINTEDSCRIBE |
TAINTEDSCRIBEは、Lazarus Groupが使用するコマンドモジュールと統合された、完全な機能を備えたビーコン・インプラントです。2020年5月に初めて報告されました |
| S0057 |
Tasklist |
Tasklistユーティリティは、ローカルまたはリモートのコンピュータで実行されているすべてのタスクについて、アプリケーションとサービスのリストをプロセスID(PID)とともに表示します。このユーティリティは、Windows オペレーティングシステムにパッケージされており、コマンドラインインターフェイスから実行することができます |
| S0183 |
Tor |
Torは、インターネット上で匿名性を高めるためのソフトウェアとネットワークです。Torは、マルチホップのプロキシネットワークを構築し、メッセージとルーティング情報の両方を保護するためにマルチレイヤーの暗号化を利用しています。Torは "Onion Routing "を採用しており、メッセージは複数のレイヤーで暗号化され、プロキシネットワークの各ステップで最上位のレイヤーが復号され、その内容が次のノードに転送されて目的地に到達する |
| S0263 |
TYPEFRAME |
TYPEFRAMEは、Lazarus Groupが使用してきたリモートアクセスツールです |
| S0257 |
VERMIN |
VERMINは、Microsoft .NETフレームワークで書かれたリモートアクセスツールです。ほとんどがオリジナルのコードで構成されていますが、一部オープンソースのコードもあります |
| S0645 |
Wevtutil |
Wevtutilは、管理者がイベントログやパブリッシャーの情報を取得するためのWindowsのコマンドラインユーティリティです |
| S0005 |
Windows Credential Editor (WCE) |
Windows Credential Editorは、パスワードダンプツールです |
| S0191 |
Winexe |
Winexeは、PsExecに似た軽量のオープンソースツールで、システム管理者がリモートサーバ上でコマンドを実行できるように設計されています。Winexeの特徴は、GNU/Linuxベースのクライアントであることです |
| S0123 |
xCmd |
xCmdはPsExecに似たオープンソースのツールで、ユーザーはリモートシステム上でアプリケーションを実行することができます |
| S0412 |
ZxShell |
ZxShellは、インターネット、特に中国のハッカーサイトからダウンロード可能なリモート管理ツールおよびバックドアです。少なくとも2004年から使用されています |
