JPCERT/CC、サイバー攻撃者御用達44ツールを解説 - インシデント調査に役立つ報告書
JPCERTコーディネーションセンターは、サイバー攻撃で実際に利用された代表的なツールや、それらツールが実行された痕跡を調査し、報告書として公開した。インシデントを想定した事前対策や、発生時の調査などに活用できるとしている。
同センターが今回公開した「インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書」は、組織ネットワーク内におけるインシデント発生時において、多岐にわたるシステムを効率良く調査できるよう、サイバー攻撃に用いられる代表的なツールや、それらツールを実行した際にのこされるログについて調査し、まとめたもの。
コマンド実行をはじめ、パスワードやハッシュの入手、通信の不正中継、リモートログイン、権限の昇格、アカウントの奪取など、実際に同センターが対応したインシデント調査で攻撃者の利用を確認した44種類のツールを選定、解説した。
攻撃時にのこるログにくわえ、攻撃を想定し、インシデント発生時に十分なログが取得できるようにする手法なども盛り込んだ。同報告書は、同センターのウェブサイトより入手できる。
同報告書で解説されているツールは、以下のとおり。
コマンド実行
PsExec
wmic
PowerShell
wmiexec.vbs
BeginX
winrm
at
winrs
BITS
パスワード、ハッシュの入手
PWDump7
PWDumpX
Quarks PwDump
Mimikatz(パスワードハッシュ入手)
Mimikatz(チケット入手)
WCE
gsecdump
lslsass
Find-GPOPasswords.ps1
Mail PassView
WebBrowserPassView
Remote Desktop PassView
通信の不正中継
Htran
Fake wpad
リモートログイン
RDP
Pass-the-hashおよびPass-the-ticket
WCE
Mimikatz
システム権限への昇格
MS14-058 Exploit
MS15-078 Exploit
権限昇格
SDB UAC Bypass
ドメイン管理者権限アカウントの奪取
MS14-068 Exploit
Golden Ticket(Mimikatz)
Silver Ticket(Mimikatz)
Active Directoryデータベースの奪取
ntdsutil
vssadmin
ローカルユーザー・グループの追加・削除
net user
ファイル共有
net use
net share
icacls
痕跡の削除
sdelete
timestomp
イベントログの削除
wevtutil
アカウント情報の取得
csvde
ldifde
dsquery
(Security NEXT - 2016/06/28 )
ツイート
PR
関連記事
給付金支給対象者名簿を誤送信、第三者が関連施設内で共有 - 軽井沢町
バックアップ製品「Arcserve UDP」に脆弱性 - 影響大きくPoCも公開
Fortinet、アドバイザリ8件を公開 - 複数製品に「クリティカル」の脆弱性
ランサムリークサイト、年間約4000件の投稿 - 身代金支払うも約2割で反古
メール覗き見職員を処分、PWなど推測して不正アクセス - 宇陀市
淀川河川公園施設予約サイトのテストサーバで不正通信 - 個人情報流出か
米当局、「TeamCity」の脆弱性悪用に注意呼びかけ
GitLab、脆弱性2件を解消したセキュリティアップデートを公開
置き忘れてPC紛失、在宅勤務時のデータ残存か - 国立国語研究所
IT資産管理用ツール「SKYSEA Client View」に複数の脆弱性