Comments
Description
Transcript
別紙 マインドマップ 3.影響範囲(案)
Mindmap3̲影響範囲(案) 実行痕跡の調査 収集した情報を保存したファイル 情報収集ツール キーロガー タイムスタンプ キーロガーの保存ファイル パスワードハッシュ 攻撃ツール 権限昇格ツール 文字列痕跡 パスワードダンプ ダンプしたファイル NTDS.DITファイルの有無 ネットワーク探索 バックドアツール 消去ツール ポート転送ツール ファイルの完全消去 実行痕跡の調査 プリフェッチファイル ロードされたファイル メタ情報(プロパティ) 収集したファイル ファイルの収集コマンド コピー日時 作成日時 収集コマンドの文字列痕跡 ファイルのアクセスログ アクセスしたファイル パスワード文字列痕跡の検索 1.作成されたファイルを調べる データ内容は不明 パスワードが設定されたファイル データの持ち出し イベントログ 圧縮ファイルの有無 セキュリティログ ID 4688 新しいプロセスが作成されました。 KB 3004375:コマンドライン シグネチャ確認 実行痕跡の調査 圧縮ツール コマンドの文字列痕跡 実行痕跡の調査 ファイルの転送コマンド(FTP等) PROXYログ 転送したファイル名 コマンドの文字列痕跡 送受信データサイズ データ内容は不明 データ内容は不明 オンラインストレージへのアクセス Web履歴 データを含め復元が可能 ファイル名だけが復元が可能 削除ファイルの復元 データ内容は不明 カービング istrings 文字列痕跡の確認 http://openmya.hacker.jp/hasegawa/ strings / jstrings 別機器からのログオン イベントログ ID 4624 アカウントが正常にログオンしました。 ログオン成功 セキュリティログ ログオンタイプ:3,10 ログオン失敗 イベントログ セキュリティログ 別の機器上 イベントログ ID 4625 アカウントは、ログオンに失敗しました。 ログオン試行 ID 4648 明示的な資格情報を使用して、ログオンが試行されました。 ログオン成功 別機器へのログオン アカウントロックアウト ビットマップキャッシュ ID 4740 ユーザー アカウントがロックアウトされました。 ID 4625 アカウントは、ログオンに失敗しました。 HKCU\Software\Microsoft\Terminal Server Client\Servers RDP接続 イベントログの消去 ID 4624 アカウントが正常にログオンしました。 ログオン失敗 UsernameHint C:\Users\<ユーザー名>\AppData\Local\Microsoft\Terminal Server Client\Cache ログが記録されている期間の確認 セキュリティログ:ID 1102 監査ログが消去されました。 wevtutil cl 消去したアカウント名を確認 AT / SCHTASKSコマンド実行痕跡 scrcons.exe WMIC コマンド mofcomp.exe C:\Windows\System32\wbem\autorecover\ C:\Windows\System32\wbem\Repository\index.btr C:\WINDOWS\System32\wbem\repository\fs\objects.data プリフェッチ ( ) PowerShellコマンド 実行痕跡 Get-WmiObject Invoke-WmiMethod psexec / RemCom コマンド regコマンド scコマンド 別機器に対するプログラム実行 CSCRIPT.EXE WSH WSCRIPT.EXE レジストリ メモリ 2.横展開 Volatility セキュリティログ イベントログ cmdscan consoles ID 4688 新しいプロセスが作成されました。 PowerShell WMI-Activity セキュリティログ 別の機器上 イベントログ ID 4688 新しいプロセスが作成されました。 PowerShell WMI-Activity メモリ pagefile.sys 対象データ hiberfil.sys 未割り当て領域 文字列痕跡 別機器に対する接続 NET コマンドの文字列痕跡(例 net use) 別機器に対するコマンド実行痕跡 IPアドレス 文字列痕跡 パスワードハッシュのダンプ痕跡 Pth ハッシュ値 SAMから取得できる値 PING コマンド net コマンド ネットワーク探索 AD環境に関する情報収集 通信痕跡 イベントログ メモリ volatility パケット csvde dsquery ポートのオープン Windows FireWall netscan BulkExtractor 別機器からコピーされたファイルがローカル上に存在していないか ファイル LNK 別機器上のファイルを参照した痕跡 JumpList 権限昇格を行うプログラム 3.権限昇格 ローカルAdministratorアカウント 実行痕跡の調査 権限昇格で利用するファイル 最終ログオン日時 デジタル・フォレンジック コース参考資料 Copyright © LAC Co., Ltd. All Rights Reserved. イベントログ SAM セキュリティログ 4624 アカウントが正常にログオンしました。