Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

JPCERT/CC、サイバー攻撃者御用達44ツールを解説 - インシデント調査に役立つ報告書

JPCERTコーディネーションセンターは、サイバー攻撃で実際に利用された代表的なツールや、それらツールが実行された痕跡を調査し、報告書として公開した。インシデントを想定した事前対策や、発生時の調査などに活用できるとしている。

同センターが今回公開した「インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書」は、組織ネットワーク内におけるインシデント発生時において、多岐にわたるシステムを効率良く調査できるよう、サイバー攻撃に用いられる代表的なツールや、それらツールを実行した際にのこされるログについて調査し、まとめたもの。

コマンド実行をはじめ、パスワードやハッシュの入手、通信の不正中継、リモートログイン、権限の昇格、アカウントの奪取など、実際に同センターが対応したインシデント調査で攻撃者の利用を確認した44種類のツールを選定、解説した。

攻撃時にのこるログにくわえ、攻撃を想定し、インシデント発生時に十分なログが取得できるようにする手法なども盛り込んだ。同報告書は、同センターのウェブサイトより入手できる。

同報告書で解説されているツールは、以下のとおり。

コマンド実行

PsExec
wmic
PowerShell
wmiexec.vbs
BeginX
winrm
at
winrs
BITS

パスワード、ハッシュの入手

PWDump7
PWDumpX
Quarks PwDump
Mimikatz(パスワードハッシュ入手)
Mimikatz(チケット入手)
WCE
gsecdump
lslsass
Find-GPOPasswords.ps1
Mail PassView
WebBrowserPassView
Remote Desktop PassView

通信の不正中継

Htran
Fake wpad

リモートログイン

RDP

Pass-the-hashおよびPass-the-ticket

WCE
Mimikatz

システム権限への昇格

MS14-058 Exploit
MS15-078 Exploit

権限昇格

SDB UAC Bypass

ドメイン管理者権限アカウントの奪取

MS14-068 Exploit
Golden Ticket(Mimikatz)
Silver Ticket(Mimikatz)

Active Directoryデータベースの奪取

ntdsutil
vssadmin

ローカルユーザー・グループの追加・削除

net user

ファイル共有

net use
net share
icacls

痕跡の削除

sdelete
timestomp

イベントログの削除

wevtutil

アカウント情報の取得

csvde
ldifde
dsquery

(Security NEXT - 2016/06/28 ) このエントリーをはてなブックマークに追加

PR

関連記事

「なりすまし」生じる「Exchange Server」の脆弱性へ対処 - MS
MS月例パッチ 、脆弱性74件を修正- 悪用確認済みのゼロデイ脆弱性にも対応
育成プログラム「SecHack365」の成果発表会を都内で開催 - NICT
「MS Exchange 2013」以降に脆弱性「PrivExchange」 - ドメイン管理者権限奪われるおそれも
「Adobe Reader」に未修正の脆弱性 - 「NTLMハッシュ」窃取のおそれ
PWリスト攻撃によるログイン試行を検知 - ディノス・セシール
WAFの導入や運用を支援するサービス - JP-Secure
「Linux」狙う新種マルウェア「SpeakUp」 - 多くの製品で検知すり抜け
NTTコム、セキュリティ強化した翻訳サービス - 専有環境で処理、辞書など暗号化
「不正ログイン」の相談、前四半期比66.2%増 - 調査開始以降最多