JPCERT/CC、サイバー攻撃者御用達44ツールを解説 - インシデント調査に役立つ報告書

【概要】

■コマンド実行

ATT&CK ID	ツール名	備考
S0029	PsExec
	wmic
	PowerShell
	wmiexec.vbs
	BeginX
	winrm
S0110	at
	winrs
	BITS

■パスワード、ハッシュの入手

ATT&CK ID	ツール名	備考
	PWDump7
	PWDumpX
	Quarks PwDump
S0002	Mimikatz	パスワード解読
S0002	Mimikatz	チケット入手
S0005	WCE
S0008	gsecdump
S0121	lslsass
	Find-GPOPasswords.ps1
	Mail PassView
	WebBrowserPassView
	Remote Desktop PassView

■通信の不正中継

ATT&CK ID	ツール名	備考
	Htran	中継ツール
	Fake wpad

■リモートログイン

ATT&CK ID	ツール名	備考
	RDP

■Pass-the-hashおよびPass-the-ticket

ATT&CK ID	ツール名	備考
S0005	WCE
S0002	Mimikatz

■システム権限への昇格

ATT&CK ID	ツール名	備考
	MS14-058 Exploit
	MS15-078 Exploit

■権限昇格

ATT&CK ID	ツール名	備考
	SDB UAC Bypass

■ドメイン管理者権限アカウントの奪取

ATT&CK ID	ツール名	備考
	MS14-068 Exploit
	Golden Ticket	Mimikatz
	Silver Ticket	Mimikatz

■Active Directoryデータベースの奪取

ATT&CK ID	ツール名	備考
	ntdsutil
	vssadmin

■ローカルユーザー・グループの追加・削除

ATT&CK ID	ツール名	備考
	net user

■ファイル共有

ATT&CK ID	ツール名	備考
	net use
	net share
	icacls	ファイルアクセス権限を設定

■痕跡の削除

ATT&CK ID	ツール名	備考
	sdelete
	timestomp

■イベントログの削除

ATT&CK ID	ツール名	備考
S0645	wevtutil

■アカウント情報の取得

ATT&CK ID	ツール名	備考
	csvde	ADのアカウント情報のエクスポート
	ldifde
	dsquery

【ニュース】

◆JPCERT/CC、サイバー攻撃者御用達44ツールを解説 - インシデント調査に役立つ報告書 (Security NEXT, 2016/06/28)
http://www.security-next.com/071477

【公開情報】

◆インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書 (JPCERT/CC, 2017/06/12)
http://www.jpcert.or.jp/research/ir_research.html

【関連情報】

◆インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書 (JPCERT/CC, 2016/06/28)
http://www.jpcert.or.jp/research/20160628ac-ir_research.pdf
⇒ https://malware-log.hatenablog.com/entry/2016/06/28/000000_8

◆Detecting Lateral Movement through Tracking Event Logs (JPCERT/CC, 2017/06/12)
http://www.jpcert.or.jp/english/pub/sr/20170612ac-ir_research_en.pdf