TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

MITRE ATT&CK Software (まとめ)

【目次】

Software

【ツール】
ID 名称 説明
S0552 AdFind AdFindは、Active Directoryからの情報収集に使用できる、無料のコマンドライン・クエリ・ツールです
S0110 at atは、システム上のタスクを指定した日付や時間に実行するようにスケジュールするために使用します
S0521 BloodHound BloodHoundは、Active Directory(AD)の偵察ツールであり、AD環境内の隠れた関係を明らかにし、攻撃経路を特定することができます
S0119 Cachedump Cachedumpは、システムのレジストリからキャッシュされたパスワードハッシュを抽出するプログラムで、一般に公開されているツールです
S0106 cmd cmdはWindowsのコマンドラインインタプリタで、システムとの対話や、他のプロセスやユーティリティの実行に使用されます。
S0154 Cobalt Strike Cobalt Strikeは、フル機能を備えた商用のリモート・アクセス・ツールで、「標的攻撃を実行し、高度な脅威アクターの侵入後の行動をエミュレートするために設計された敵対者シミュレーション・ソフトウェア」と自称しています。Cobalt Strikeのインタラクティブなポスト・エクスプロイト機能は、単一の統合されたシステム内で実行されるATT&CK戦術の全範囲をカバーしています。
S0363 Empire Empireは、GitHubで公開されている、オープンソースでクロスプラットフォームのリモート管理およびポストエクスプローラーのフレームワークです。ツール自体は主にPythonで記述されていますが、ポストエクスプロイトエージェントは、Windowsでは純粋なPowerShell、Linux/macOSではPythonで記述されています。Empireは、敵が広く使用している公共のハッキングツールに関する共同報告書で選ばれた5つのツールの1つです
S0120 Fgdump Fgdumpは、Windowsのパスワードハッシュダンパです
S0173 FLIPSIDE FLIPSIDEは、FIN5が被害者へのアクセスを維持するために使用しているPlinkに似たシンプルなツールです
S0193 Forfiles Forfilesは、一般的にバッチジョブで使用されるWindowsユーティリティで、1つ以上の選択されたファイルやディレクトリに対してコマンドを実行します(例:ドライブ内のすべてのディレクトリをリストアップする、昨日作成されたすべてのファイルの最初の行を読み取る、など)。Forfilesは、コマンドライン、実行ウィンドウ、バッチファイル/スクリプトのいずれかから実行できます
S0095 FTP FTPとは、ファイル転送プロトコル(FTP)を介して情報を転送するための、オペレーティングシステムで一般的に利用できるユーティリティです。敵対者はこれを利用して、他のツールをシステムに転送したり、データを流出させたりすることができます
S0008 gsecdump gsecdumpは、WindowsオペレーティングシステムからパスワードハッシュやLSAシークレットを取得するために使用される、一般に公開されているクレデンシャルダンパです
S0224 Havij Havijは、イランのセキュリティ企業であるITSecTeamが配布している自動SQLインジェクションツールです。Havijはペネトレーションテストや敵対者によって使用されています
S0232 HOMEFRY HOMEFRYは64ビットのWindows用パスワードダンパ/クラッカーで、以前は他のLeviathanバックドアと組み合わせて使用されていました
S0101 ifconfig ifconfigはUnixベースのユーティリティで、システムのTCP/IP設定に関する情報を収集したり、操作したりするのに使われます
S0278 iKitten iKittenは、macOSの侵入エージェントです
S0357 Impacket Impacketは、ネットワークプロトコルをプログラムで構築、操作するためのPythonで書かれたモジュールのオープンソースコレクションです。Impacketには、リモートサービスの実行、Kerberosの操作、Windowsのクレデンシャルダンピング、パケットスニッフィング、リレー攻撃などのツールが含まれています
S0231 Invoke-PSImage Invoke-PSImageは、PowerShellスクリプトを受け取り、そのスクリプトのバイトをPNG画像のピクセルに埋め込みます。これにより、ファイルやウェブから実行するためのワンライナーが生成されます。使用例としては、Invoke-MimikatzモジュールのPowerShellコードを画像ファイルに埋め込んでいます。例えばマクロから画像ファイルを呼び出すと、マクロは画像をダウンロードしてPowerShellコードを実行し、この場合はパスワードをダンプします
S0100 ipconfig ipconfigは、システムのTCP/IP、DNS、DHCP、アダプタの設定に関する情報を検索するために使用できるWindowsユーティリティです
S0581 IronNetInjector IronNetInjectorは、オープンソースのPythonの実装であるIronPythonのスクリプトを.NETインジェクターで利用し、ComRATを含む1つ以上のペイロードを投下するTurlaツールチェーンです
S0487 Kessel Kesselは、カスタム バックドアとして動作するOpenSSHの高度なバージョンで、主に認証情報を盗み出し、ボットとして機能するように作用します。Kesselは、そのC2ドメインが2018年8月に解決し始めて以来、活発に活動しています
S0526 KGH_SPY KGH_SPYは、Kimsukyが偵察、情報窃盗、バックドア機能のために使用するツールのモジュラー・スイートです。KGH_SPYの名前は、"KGH "を含むサンプルに見られるPDBパスと内部名称に由来しています
S0607 KillDisk KillDiskは、ファイルをランダムなデータで上書きしてOSを起動不能にするよう設計されたディスクワイプツールです。KillDiskは、2015年のウクライナへのサイバー攻撃において、BlackEnergyマルウェアのコンポーネントとして初めて観測されました。その後、KillDiskは独立したマルウェアに進化し、ヨーロッパやラテンアメリカの標的に対して様々な脅威者が使用しています
S0250 Koadic Koadicは、Windowsのポストエクスプロイトフレームワークとペネトレーションテストツールです。KoadicはGitHubで公開されており、ツールはコマンドラインで実行されます。Koadicには、ペイロードをステージングしてインプラントを作成するためのいくつかのオプションがあります。KoadicはWindows Script Hostを使ってほとんどの操作を行います
S0356 KONNI KONNIは、2014年から使用が確認され、少なくとも2017年までは機能が進化しているWindowsのリモート管理ツールです。KONNIは、北朝鮮をテーマにしたいくつかのキャンペーンに関連しています。KONNIは、NOKKIマルウェアファミリーとコードが大きく重複しています。KONNIとAPT37を結びつける可能性のある証拠がいくつかあります
S0349 LaZagne LaZagneは、システムに保存されているパスワードを回復するために使用される、搾取後のオープンソースのツールです。Windows、Linux、OSX用のモジュールが用意されていますが、主にWindowsシステムに焦点を当てています。LaZagneはGitHubで公開されています。
S0121 Lslsass Lslsassは、アクティブなログオンセッションのパスワードハッシュをlsassプロセスからダンプすることができる一般に公開されているツールです
S0409 Machete マチェーテは、マチェーテが使用するサイバースパイのツールセットです。WindowsマシンをターゲットにしたPythonベースのバックドアで、2010年に初めて観測されました
S0413 MailSniper MailSniperは、Microsoft Exchange環境の電子メールから特定の用語(パスワード、インサイダー情報、ネットワークアーキテクチャ情報など)を検索するペネトレーションテストツールです。管理者ではないユーザーが自分のメールを検索したり、Exchange管理者がドメイン内のすべてのユーザーのメールボックスを検索したりするのに使用できます。
S0175 meek meekはオープンソースのTorプラグインで、TorのトラフィックをHTTPS接続でトンネリングします
S0002 Mimikatz Mimikatzは、平文のWindowsアカウントのログイン名とパスワードを取得できるクレデンシャル・ダンパで、ネットワークのセキュリティをテストするのに便利な多くの機能を備えています
S0179 MimiPenguin MimiPenguinは、Mimikatzに似たクレデンシャル・ダンパで、特にLinuxプラットフォーム用に設計されています
S0233 MURKYTOP MURKYTOPは、Leviathanが使用している偵察ツールです
S0637 NativeZone NativeZoneとは、APT29が少なくとも2021年以降に使用した使い捨てのカスタムCobalt Strikeローダーの総称です
S0590 NBTscan NBTscanは、国家グループが侵害されたネットワーク内で内部偵察を行うために使用されてきたオープンソースのツールです
S0102 nbtstat nbtstatは、NetBIOSの名前解決のトラブルシューティングに使用されるユーティリティです
S0039 Net Net ユーティリティは、Windows オペレーティングシステムのコンポーネントです。ユーザー、グループ、サービス、およびネットワーク接続を制御するためのコマンドライン操作で使用されます
S0108 netsh netsh は、ローカルまたはリモート システムのネットワーク コンポーネントを操作するために使用されるスクリプト ユーティリティです
S0104 netstat netstatは、アクティブなTCP接続、リッスン・ポート、ネットワーク統計を表示するオペレーティングシステム・ユーティリティです
S0198 NETWIRE NETWIREは、一般に公開されているマルチプラットフォームのリモート管理ツール(RAT)で、少なくとも2012年以降、犯罪者やAPTグループに利用されています
S0508 Ngrok Ngrokは、ファイアウォールの背後にあるサーバーや、パブリックIPを持たないローカルマシンにあるサーバーへの安全なトンネルを作ることができる正規のリバースプロキシツールです。Ngrokは、横方向への移動やデータの流出など、いくつかのキャンペーンで脅威となる行為に利用されています
S0359 Nltest Nltestは、ドメインコントローラの一覧表示やドメイントラストの列挙に使用されるWindowsのコマンドラインユーティリティです
S0138 OLDBAIT OLDBAITは、APT28が使用するクレデンシャルハーベスターです
S0165 OSInfo OSInfoは、APT3が被害者のコンピュータやネットワークの内部探索を行うために使用するカスタムツールです
S0122 Pass-The-Hash Toolkit Pass-The-Hash Toolkitは、敵対者が(元のパスワードを知らずに)パスワードのハッシュを「パス」してシステムにログインすることを可能にするツールキットである
S0097 Ping Pingは、ネットワーク接続のトラブルシューティングや検証によく使われるオペレーティングシステムのユーティリティです
S0378 PoshC2 PoshC2は、GitHubで公開されているオープンソースのリモート管理およびポストエクスプロイトフレームワークです。このツールのサーバー側のコンポーネントは主にPythonで書かれており、インプラントはPowerShellで書かれています。PoshC2は主にWindowsへの移植に焦点を当てていますが、Linux/macOS用の基本的なPythonドロッパーも含まれています
S0194 PowerSploit PowerSploitは、PowerShellモジュールとスクリプトで構成されたオープンソースの攻撃的セキュリティフレームワークで、コード実行、パーシステンス、アンチウイルスのバイパス、リコン、エクスフィルトレーションなど、ペネトレーションテストに関連するさまざまなタスクを実行します
S0184 POWRUNER POWRUNERは、C2サーバーとの間でコマンドを送受信するPowerShellスクリプトです
S0029 PsExec PsExecは、他のコンピュータ上でプログラムを実行するために使用できる、無料のMicrosoftツールです。IT管理者や攻撃者に利用されています
S0192 Pupy Pupyは、オープンソースで、クロスプラットフォーム(Windows、Linux、OSX、Android)のリモート管理およびポストエクスプロイトツールです。PupyはPythonで書かれており、ペイロードとしていくつかの異なる方法で生成することができます(Windows exe、Pythonファイル、PowerShell oneliner/file、Linux elf、APK、Rubber Duckyなど)。PupyはGitHubで公開されています
S0006 pwdump pwdumpはクレデンシャル・ダンパです
S0241 RATANKBA RATANKBAは、Lazarus Groupが使用している遠隔操作ツールです。RATANKBAは、ポーランド、メキシコ、ウルグアイ、イギリス、チリの金融機関を標的とした攻撃に使用されました。RATANKBAは、ポーランド、メキシコ、ウルグアイ、イギリス、チリの金融機関を標的とした攻撃に使用されたほか、電気通信、経営コンサルティング、情報技術、保険、航空、教育などに関連する組織でも使用されたことが確認されています。RATANKBAは、攻撃者が感染したマシン上で実行するジョブを発行するためのグラフィカル・ユーザー・インターフェースを備えています
S0364 RawDisk RawDiskは、ファイル、ディスク、パーティションとのやりとりに使われるEldoS社の正規の商用ドライバです。このドライバは、ローカルコンピュータのハードドライブ上のデータを直接変更することができます。場合によっては、このツールは、ユーザーモードのプロセスからこれらのRaw Diskの変更を実行することができ、Windowsオペレーティングシステムのセキュリティ機能を回避することができます
S0075 Reg Reg は、Windows レジストリを操作するための Windows ユーティリティです。コマンドライン・インターフェースを使って、情報の照会、追加、変更、削除を行うことができます
S0332 Remcos Remcosはクローズドソースのツールで、Breaking Securityという会社が遠隔操作や監視のためのソフトウェアとして販売しています。Remcosは、マルウェアのキャンペーンに使用されていることが確認されています
S0166 RemoteCMD RemoteCMDは、APT3が使用するカスタムツールで、SysInternalのPSEXEC機能と同様に、リモートシステム上でコマンドを実行します
S0592 RemoteUtilities RemoteUtilitiesは、少なくとも2021年以降、MuddyWater社がターゲットマシンでの実行に使用してきた正規のリモート管理ツールです
S0358 Ruler Rulerは、Microsoft Exchangeサービスを悪用するためのツールです。GitHubで公開されており、このツールはコマンドラインで実行されます。Rulerの作成者は、その使用を検知するための防御ツール「NotRuler」も公開しています
S0633 Sliver Sliverは、Golangで書かれたオープンソースでクロスプラットフォームのレッドチームのコマンド&コントロールフレームワークです
S0646 SpicyOmelette SpicyOmeletteは、少なくとも2018年からCobalt Groupが使用していたJavaScriptベースのリモートアクセスツールです
S0227 spwebmember spwebmemberは、.NETで書かれたMicrosoft SharePointの列挙とデータダンプのツールです。
S0225 sqlmap sqlmapは、オープンソースのペネトレーションテストツールで、SQLインジェクションの欠陥を検出して悪用するプロセスを自動化するために使用できます。
S0096 Systeminfo Systeminfoは、コンピュータの詳細な情報を収集するために使用できるWindowsユーティリティです
S0586 TAINTEDSCRIBE TAINTEDSCRIBEは、Lazarus Groupが使用するコマンドモジュールと統合された、完全な機能を備えたビーコン・インプラントです。2020年5月に初めて報告されました
S0057 Tasklist Tasklistユーティリティは、ローカルまたはリモートのコンピュータで実行されているすべてのタスクについて、アプリケーションとサービスのリストをプロセスID(PID)とともに表示します。このユーティリティは、Windows オペレーティングシステムにパッケージされており、コマンドラインインターフェイスから実行することができます
S0183 Tor Torは、インターネット上で匿名性を高めるためのソフトウェアとネットワークです。Torは、マルチホップのプロキシネットワークを構築し、メッセージとルーティング情報の両方を保護するためにマルチレイヤーの暗号化を利用しています。Torは "Onion Routing "を採用しており、メッセージは複数のレイヤーで暗号化され、プロキシネットワークの各ステップで最上位のレイヤーが復号され、その内容が次のノードに転送されて目的地に到達する
S0263 TYPEFRAME TYPEFRAMEは、Lazarus Groupが使用してきたリモートアクセスツールです
S0257 VERMIN VERMINは、Microsoft .NETフレームワークで書かれたリモートアクセスツールです。ほとんどがオリジナルのコードで構成されていますが、一部オープンソースのコードもあります
S0645 Wevtutil Wevtutilは、管理者がイベントログやパブリッシャーの情報を取得するためのWindowsのコマンドラインユーティリティです
S0005 Windows Credential Editor (WCE) Windows Credential Editorは、パスワードダンプツールです
S0191 Winexe Winexeは、PsExecに似た軽量のオープンソースツールで、システム管理者がリモートサーバ上でコマンドを実行できるように設計されています。Winexeの特徴は、GNU/Linuxベースのクライアントであることです
S0123 xCmd xCmdはPsExecに似たオープンソースのツールで、ユーザーはリモートシステム上でアプリケーションを実行することができます
S0412 ZxShell ZxShellは、インターネット、特に中国のハッカーサイトからダウンロード可能なリモート管理ツールおよびバックドアです。少なくとも2004年から使用されています
【DLL】
S0238 Proxysvc Proxysvcは、Lazarus Groupが「Operation GhostSecret」として知られるキャンペーンで使用する悪意のあるDLLです。2017年から検出されずに運用されているようで、主に高等教育機関で観測されました。Proxysvcの目的は、ターゲットに追加のペイロードを配信し、攻撃者の制御を維持することです。これは、スタンドアロンプロセスとしても実行可能なDLLの形をしています
【ブートキット】
S0114 BOOTRASH BOOTRASHは、Windows OSを対象としたBootkitです。金融機関を標的とした脅威アクターに利用されています

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2020