AceHash

- 目次

全てのセクションを開く | 全てのセクションを閉じる

- ツール概要

カテゴリ
パスワード、ハッシュ入手
説明
パスワードハッシュ値を取得し、ホストにログオンする。
攻撃時における想定利用例
ログオンパスワードが不明な場合、取得したパスワードハッシュ値を使用してリモートホストにログオンする。

- ツール動作概要

- 概要

項目 接続元 ドメインコントローラー
通信プロトコル
  • 445/tcp
  • 445/tcp
権限 Admin User
ドメインへの所属 不要
サービス - -
OS Windows Windows Server
備考 - -

- 動作確認環境

環境 動作可否
Windows 7 + Windows Server 2012 動作する
Windows 10 + Windows Server 2012 動作する
Windows 11 + Windows Server 2025 動作しない

- ログから得られる情報

標準設定
  • 接続元
    • Prefetch: 実行履歴
追加設定
  • 接続元
    • 監査ポリシー・Sysmon: 実行履歴
  • ドメインコントローラー
    • 監査ポリシー: NTLM認証の成功,"\\*\C$"へのアクセス

- 実行成功時に確認できる痕跡

- 実行時に記録される主要な情報

- 接続元

イベントログ

# ログ イベントID タスクのカテゴリ イベント内容
1 Microsoft-Windows-Sysmon/Operational 1 Process Create Process Create
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [実行ファイルのパス]
  • FileVersion・Description・Product・Company・OriginalFileName: [実行ファイルのメタデータ]
  • CommandLine: [実行ファイルのパス] -l
  • CurrentDirectory: [作業ディレクトリ]
  • User: [ドメイン名]\[ユーザー名]
  • LogonId: [ログオンID]
  • Hashes: [実行ファイルのハッシュ値]
  • ParentProcessId: [親プロセスID]
  • ParentImage: [親実行ファイルのパス]
  • ParentCommandLine: [親プロセスのコマンドライン]
  • ParentUser: [親プロセスの実行ユーザ]

-l オプションはハッシュ取得
2 Microsoft-Windows-Sysmon/Operational 10 Process accessed Process accessed.
  • SourceProcessId: [アクセス元プロセスID]
  • SourceThreadId: [アクセス元スレッドID]
  • SourceImage: [実行ファイルのパス]
  • TargetProcessId: [アクセス先プロセスID]
  • TargetImage: C:\Windows\system32\lsass.exe
  • GrantedAccess: 0x1FFFFF
3 Security 4689 Process Termination プロセスが終了しました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • プロセス情報 > 終了状態: 0x1
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
4 Microsoft-Windows-Sysmon/Operational 1 Process Create Process Create
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [実行ファイルのパス]
  • FileVersion・Description・Product・Company・OriginalFileName: [実行ファイルのメタデータ]
  • CommandLine: [実行ファイルのパス] -s [ユーザー名]:[ドメイン名]:[ハッシュ] [リモート実行コマンドライン]
  • CurrentDirectory: [作業ディレクトリ]
  • User: [ドメイン名]\[ユーザー名]
  • LogonId: [ログオンID]
  • IntegrityLevel: High
  • Hashes: [実行ファイルのハッシュ値]
  • ParentProcessId: [親プロセスID]
  • ParentImage: [親実行ファイルのパス]
  • ParentCommandLine: [親プロセスのコマンドライン]
  • ParentUser: [親プロセスの実行ユーザ]

-s オプションはログオン
5 Microsoft-Windows-Sysmon/Operational 1 Process Create Process Create
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [プロセスID]
  • Image: C:\Windows\System32\cmd.exe
  • FileVersion・Description・Product・Company・OriginalFileName: [リモート実行ファイルのメタデータ]
  • CommandLine: [リモート実行コマンドライン]
  • CurrentDirectory: [作業ディレクトリ]
  • User: [ドメイン名]\[ユーザー名]
  • LogonId: [ログオンセッションのID]
  • IntegrityLevel: High
  • Hashes: [実行ファイルのハッシュ値]
  • ParentProcessId: [親プロセスID]
  • ParentImage: [実行ファイルのパス]
  • ParentCommandLine: [実行ファイルのパス] -s [ユーザー名]:[ドメイン名]:[ハッシュ] [リモート実行コマンドライン]
  • ParentUser: [ドメイン名]\[ユーザー名]
6 Microsoft-Windows-Sysmon/Operational 10 Process accessed Process accessed.
  • SourceProcessId: [プロセスID]
  • SourceThreadId: [アクセス元スレッドID]
  • SourceImage: [実行ファイルのパス]
  • TargetProcessId: [アクセス先プロセスID]
  • TargetImage: C:\Windows\system32\lsass.exe
  • GrantedAccess: 0x1FFFFF
7 Microsoft-Windows-Sysmon/Operational 3 Network connection detected Network connection detected
  • ProcessId: [プロセスID]
  • Image: System
  • User: NT AUTHORITY\SYSTEM
  • Protocol: tcp
  • SourceIp: [接続先IPアドレス]
  • SourceHostname: [接続先ホスト名]
  • SourcePort: [接続先ポート番号]
  • DestinationIp: [接続元IPアドレス]
  • DestinationHostname: [接続元スト名]
  • DestinationPort: [接続元ポート番号]
8 Security 4689 Process Termination プロセスが終了しました。
  • サブジェクト > セキュリティ ID: [ユーザーのSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • プロセス情報 > 終了状態: 0x0
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: [リモート実行ファイルパス]
9 Security 4689 Process Termination プロセスが終了しました。
  • サブジェクト > セキュリティ ID: [ユーザーのSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • プロセス情報 > 終了状態: 0xFFFFFFFF
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルパス]

Prefetch

# Prefetchファイル プロセス名 プロセスパス 備考
1 C:\Windows\Prefetch\[実行ファイル名]-[文字列].pf [実行ファイル名] [実行ファイルのパス]

- ドメインコントローラー

イベントログ

# ログ イベントID タスクのカテゴリ イベント内容
1 Microsoft-Windows-Sysmon/Operational 3 Network connection detected Network connection detected
  • ProcessId: 4
  • Image: System
  • User: NT AUTHORITY\SYSTEM
  • Protocol: tcp
  • SourceIp: [ドメインコントローラーIPアドレス]
  • SourceHostname: [ドメインコントローラーホスト名]
  • SourcePort: 445
  • DestinationIp: [送信元IPアドレス]
  • DestinationHostname: [送信元ホスト名]
  • DestinationPort: [送信元ポート番号]
2 Security 4776 Credential Validation コンピューターがアカウントの資格情報の確認を試行しました。
  • 認証パッケージ: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
  • ログオン アカウント: [指定されたアカウント]
  • ソース ワークステーション: [接続元ホスト名]
3 Security 4672 Special Logon 新しいログオンに特権が割り当てられました。
  • 特権: SeSecurityPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeTakeOwnershipPrivilege, SeDebugPrivilege, SeSystemEnvironmentPrivilege, SeLoadDriverPrivilege, SeImpersonatePrivilege, SeEnableDelegationPrivilege
4 Security 4624 Logon アカウントが正常にログオンしました。
  • サブジェクト > セキュリティ ID: [実行ユーザーのSID]
  • サブジェクト > アカウント名: [アカウント名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [認証を実行したユーザーのセッションID]
  • 新しいログオン > セキュリティ ID: [実行ユーザーのSID]
  • 新しいログオン > アカウント名: [アカウント名]
  • 新しいログオン > アカウント名: [ドメイン名]
  • 新しいログオン > ログオン ID: [ログオンされたユーザーのセッションID]
  • 詳細な認証情報 > ログオン プロセス: NtLmSsp
  • 詳細な認証情報 > 認証パッケージ: NTLM
  • 詳細な認証情報 > パッケージ名 (NTLMのみ): NTLM V2
  • 詳細な認証情報 > キーの長さ: 128
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
  • 偽装レベル: 偽装
  • ネットワーク情報 > ソースワークステーション名: [接続元ホスト名]
  • ネットワーク情報 > ソース ネットワーク アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: [接続元ポート番号]
5 Security 5145 Detailed File Share クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [アカウント名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト情報 > オブジェクトの種類: File
  • オブジェクト情報 > 送信元アドレス: [接続元IPアドレス]
  • オブジェクト情報 > ソース ポート: [接続元ポート番号]
  • 共有情報 > 共有名: \\*\C$
  • 共有情報 > 共有パス: \??\C:\
  • 共有情報 > 相対ターゲット名: \
  • アクセス要求情報 > アクセス: SYNCHRONIZE, ReadAttributes

- 詳細情報

- 接続元

イベントログ

# ログ イベントID タスクのカテゴリ イベント内容
1 Microsoft-Windows-Sysmon/Operational 1 Process Create Process Create
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [実行ファイルのパス]
  • FileVersion・Description・Product・Company・OriginalFileName: [実行ファイルのメタデータ]
  • CommandLine: [実行ファイルのパス] -l
  • CurrentDirectory: [作業ディレクトリ]
  • User: [ドメイン名]\[ユーザー名]
  • LogonId: [ログオンID]
  • Hashes: [実行ファイルのハッシュ値]
  • ParentProcessId: [親プロセスID]
  • ParentImage: [親実行ファイルのパス]
  • ParentCommandLine: [親プロセスのコマンドライン]
  • ParentUser: [親プロセスの実行ユーザ]

-l オプションはハッシュ取得
2 Security 4688 Process Creation 新しいプロセスが作成されました。
  • 作成元サブジェクト > セキュリティ ID: [実行ユーザーSID]
  • 作成元サブジェクト > アカウント名: [ユーザー名]
  • 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
  • 作成元サブジェクト > ログオン ID: [プロセスを実行したユーザーのセッションID]
  • プロセス情報 > 新しいプロセス ID: [プロセスID]
  • プロセス情報 > 新しいプロセス名: [実行ファイルのパス]
  • プロセス情報 > トークン昇格の種類: TokenElevationTypeFull(2)
  • プロセス情報 > 作成元プロセス ID: [新プロセスを作成した親プロセスのプロセスID]
  • プロセス情報 > 作成元プロセス名: [新プロセスを作成した親プロセスのパス]
3 Microsoft-Windows-Sysmon/Operational 10 Process accessed Process accessed.
  • SourceProcessId: [アクセス元プロセスID]
  • SourceThreadId: [アクセス元スレッドID]
  • SourceImage: [実行ファイルのパス]
  • TargetProcessId: [アクセス先プロセスID]
  • TargetImage: C:\Windows\system32\lsass.exe
  • GrantedAccess: 0x1FFFFF
4 Microsoft-Windows-Sysmon/Operational 8 CreateRemoteThread detected CreateRemoteThread detected
  • UtcTime: [発生日時(UTC)]
  • SourceProcessId: [作成元プロセスID]
  • SourceImage: [実行ファイルのパス]
  • TargeProcessId: [作成先プロセスID]
  • TargetImage: C:\Windows\System32\lsass.exe
  • NewThreadId: [新規スレッドのスレッドID]
5 Microsoft-Windows-Sysmon/Operational 5 Process terminated Process terminated.
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [実行ファイルのパス]
  • User: [ドメイン名]\[ユーザー名]
6 Security 4689 Process Termination プロセスが終了しました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • プロセス情報 > 終了状態: 0x1
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
7 Microsoft-Windows-Sysmon/Operational 11 File created File created
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [プロセスID]
  • Image: C:\WINDOWS\system32\svchost.exe
  • TargetFilename: C:\Windows\Prefetch\[実行ファイル名]-[文字列].pf
  • CreationUtcTime: [ファイル作成日時(UTC)]
8 Security 4656 File System オブジェクトに対するハンドルが要求されました。
  • オブジェクト > オブジェクト名: C:\Windows\Prefetch\[実行ファイル名]-[文字列].pf
  • オブジェクト > ハンドル ID: [ハンドルID]
  • アクセス要求情報 > アクセス: WriteDataまたはAddFile, AppendData
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\WINDOWS\system32\svchost.exe
9 Security 4663 File System オブジェクトへのアクセスが試行されました。
  • オブジェクト > オブジェクト名: C:\Windows\Prefetch\[実行ファイル名]-[文字列].pf
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
  • アクセス要求情報 > アクセス: WriteDataまたはAddFile, AppendData
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\WINDOWS\system32\svchost.exe
10 Security 4658 File System オブジェクトに対するハンドルが閉じました。
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\WINDOWS\system32\svchost.exe
11 Microsoft-Windows-Sysmon/Operational 1 Process Create Process Create
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [実行ファイルのパス]
  • FileVersion・Description・Product・Company・OriginalFileName: [実行ファイルのメタデータ]
  • CommandLine: [実行ファイルのパス] -s [ユーザー名]:[ドメイン名]:[ハッシュ] [リモート実行コマンドライン]
  • CurrentDirectory: [作業ディレクトリ]
  • User: [ドメイン名]\[ユーザー名]
  • LogonId: [ログオンID]
  • IntegrityLevel: High
  • Hashes: [実行ファイルのハッシュ値]
  • ParentProcessId: [親プロセスID]
  • ParentImage: [親実行ファイルのパス]
  • ParentCommandLine: [親プロセスのコマンドライン]
  • ParentUser: [親プロセスの実行ユーザ]

-s オプションはログオン
12 Security 4688 Process Creation 新しいプロセスが作成されました。
  • 作成元サブジェクト > セキュリティ ID: [ユーザーSID]
  • 作成元サブジェクト > アカウント名: [ユーザー名]
  • 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
  • 作成元サブジェクト > ログオン ID: [ログオンID]
  • プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID]
  • プロセス情報 > 新しいプロセス名: [実行ファイルのパス]
  • プロセス情報 > トークン昇格の種類: TokenElevationTypeFull(2)
  • プロセス情報 > 作成元プロセス ID: [親プロセスID]
  • プロセス情報 > プロセスのコマンド ライン: [実行ファイルのパス] -s [ユーザー名]:[ドメイン名]:[ハッシュ] [リモート実行コマンドライン]
  • プロセス情報 > 作成元プロセス名: [親プロセス名]
13 Microsoft-Windows-Sysmon/Operational 1 Process Create Process Create
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [プロセスID]
  • Image: C:\Windows\System32\cmd.exe
  • FileVersion・Description・Product・Company・OriginalFileName: [リモート実行ファイルのメタデータ]
  • CommandLine: [リモート実行コマンドライン]
  • CurrentDirectory: [作業ディレクトリ]
  • User: [ドメイン名]\[ユーザー名]
  • LogonId: [ログオンセッションのID]
  • IntegrityLevel: High
  • Hashes: [実行ファイルのハッシュ値]
  • ParentProcessId: [親プロセスID]
  • ParentImage: [実行ファイルのパス]
  • ParentCommandLine: [実行ファイルのパス] -s [ユーザー名]:[ドメイン名]:[ハッシュ] [リモート実行コマンドライン]
  • ParentUser: [ドメイン名]\[ユーザー名]
14 Security 4688 Process Creation 新しいプロセスが作成されました。
  • 作成元サブジェクト > セキュリティ ID: [ユーザーSID]
  • 作成元サブジェクト > アカウント名: [ユーザー名]
  • 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
  • 作成元サブジェクト > ログオン ID: [ログオンID]
  • プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID]
  • プロセス情報 > 新しいプロセス名: [リモート実行ファイルのパス]
  • プロセス情報 > トークン昇格の種類: TokenElevationTypeFull(2)
  • プロセス情報 > 作成元プロセス ID: [親プロセスID]
  • プロセス情報 > プロセスのコマンド ライン: [実行ファイルのパス] -s [ユーザー名]:[ドメイン名]:[ハッシュ] [リモート実行コマンドライン]
  • プロセス情報 > 作成元プロセス名: [親プロセス名]
15 Microsoft-Windows-Sysmon/Operational 10 Process accessed Process accessed.
  • SourceProcessId: [プロセスID]
  • SourceThreadId: [アクセス元スレッドID]
  • SourceImage: [実行ファイルのパス]
  • TargetProcessId: [アクセス先プロセスID]
  • TargetImage: C:\Windows\system32\lsass.exe
  • GrantedAccess: 0x1FFFFF
16 Microsoft-Windows-Sysmon/Operational 8 CreateRemoteThread detected CreateRemoteThread detected
  • UtcTime: [発生日時(UTC)]
  • SourceImage: [実行ファイルのパス]
  • TargetImage: C:\Windows\system32\lsass.exe
17 Microsoft-Windows-Sysmon/Operational 3 Network connection detected Network connection detected
  • ProcessId: [プロセスID]
  • Image: System
  • User: NT AUTHORITY\SYSTEM
  • Protocol: tcp
  • SourceIp: [接続先IPアドレス]
  • SourceHostname: [接続先ホスト名]
  • SourcePort: [接続先ポート番号]
  • DestinationIp: [接続元IPアドレス]
  • DestinationHostname: [接続元スト名]
  • DestinationPort: 445
18 Security 5156 Filtering Platform Connection Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセス ID: 4
  • アプリケーション情報 > アプリケーション名: System
  • ネットワーク情報 > 方向: 送信
  • ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: [接続元ポート番号]
  • ネットワーク情報 > 宛先アドレス: [ドメインコントローラーIPアドレス]
  • ネットワーク情報 > 宛先ポート: 445
  • ネットワーク情報 > プロトコル: 6 (TCP)
19 Microsoft-Windows-Sysmon/Operational 5 Process terminated Process terminated.
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [プロセスID]
  • Image: [リモート実行ファイルパス]
  • User: [ドメイン名]\[ユーザー名]
20 Security 4689 Process Termination プロセスが終了しました。
  • サブジェクト > セキュリティ ID: [ユーザーのSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • プロセス情報 > 終了状態: 0x0
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: [リモート実行ファイルパス]
21 Microsoft-Windows-Sysmon/Operational 5 Process terminated Process terminated.
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [プロセスID]
  • Image: [実行ファイルパス]
  • User: [ドメイン名]\[ユーザー名]
22 Security 4689 Process Termination プロセスが終了しました。
  • サブジェクト > セキュリティ ID: [ユーザーのSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • プロセス情報 > 終了状態: 0xFFFFFFFF
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルパス]
23 Security 4656 File System オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティ ID: [実行ユーザーのSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: C:\Windows\Prefetch\[実行ファイル名]-[文字列].pf
  • オブジェクト > ハンドル ID: [当該ハンドルの識別ID]
  • アクセス要求情報 > アクセス: WriteDataまたはAddFile, AppendData, WriteAttributesを含む
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
24 Security 4663 File System オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティ ID: [実行ユーザーのSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: C:\Windows\Prefetch\[実行ファイル名]-[文字列].pf
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
  • アクセス要求情報 > アクセス: WriteDataまたはAddFile, AppendData, WriteAttributes
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
25 Security 4658 File System オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティ ID: [実行ユーザーのSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe

Prefetch

# Prefetchファイル プロセス名 プロセスパス 備考
1 C:\Windows\Prefetch\[実行ファイル名]-[文字列].pf [実行ファイル名] [実行ファイルのパス]

MFT

# パス ヘッダフラグ 備考
1 [ドライブ名]:\Windows\Prefetch\[実行ファイル名]-[文字列].pf FILE

USNジャーナル

# ファイル名 処理 備考
1 [実行ファイル名]-[文字列].pf
  • FILE_CREATE
  • DATA_EXTEND+FILE_CREATE
  • CLOSE+DATA_EXTEND+FILE_CREATE
2 [実行ファイル名]-[文字列].pf
  • DATA_TRUNCATION
  • DATA_EXTEND+DATA_TRUNCATION
  • CLOSE+DATA_EXTEND+DATA_TRUNCATION

- ドメインコントローラー

イベントログ

# ログ イベントID タスクのカテゴリ イベント内容
1 Microsoft-Windows-Sysmon/Operational 3 Network connection detected Network connection detected
  • ProcessId: 4
  • Image: System
  • User: NT AUTHORITY\SYSTEM
  • Protocol: tcp
  • SourceIp: [ドメインコントローラーIPアドレス]
  • SourceHostname: [ドメインコントローラーホスト名]
  • SourcePort: 445
  • DestinationIp: [送信元IPアドレス]
  • DestinationHostname: [送信元ホスト名]
  • DestinationPort: [送信元ポート番号]
2 Security 5156 Filtering Platform Connection Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセス ID: 4
  • アプリケーション情報 > アプリケーション名: System
  • ネットワーク情報 > 方向: 送信
  • ネットワーク情報 > 送信元アドレス: [ドメインコントローラーIPアドレス]
  • ネットワーク情報 > ソース ポート: 445
  • ネットワーク情報 > 宛先アドレス: [送信元IPアドレス]
  • ネットワーク情報 > 宛先ポート: [送信元ポート番号]
  • ネットワーク情報 > プロトコル: 6 (TCP)
3 Security 4776 Credential Validation コンピューターがアカウントの資格情報の確認を試行しました。
  • 認証パッケージ: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
  • ログオン アカウント: [指定されたアカウント]
  • ソース ワークステーション: [接続元ホスト名]
4 Security 4672 Special Logon 新しいログオンに特権が割り当てられました。
  • 特権: SeSecurityPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeTakeOwnershipPrivilege, SeDebugPrivilege, SeSystemEnvironmentPrivilege, SeLoadDriverPrivilege, SeImpersonatePrivilege, SeEnableDelegationPrivilege
5 Security 4624 Logon アカウントが正常にログオンしました。
  • サブジェクト > セキュリティ ID: [実行ユーザーのSID]
  • サブジェクト > アカウント名: [アカウント名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [認証を実行したユーザーのセッションID]
  • 新しいログオン > セキュリティ ID: [実行ユーザーのSID]
  • 新しいログオン > アカウント名: [アカウント名]
  • 新しいログオン > アカウント名: [ドメイン名]
  • 新しいログオン > ログオン ID: [ログオンされたユーザーのセッションID]
  • 詳細な認証情報 > ログオン プロセス: NtLmSsp
  • 詳細な認証情報 > 認証パッケージ: NTLM
  • 詳細な認証情報 > パッケージ名 (NTLMのみ): NTLM V2
  • 詳細な認証情報 > キーの長さ: 128
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
  • 偽装レベル: 偽装
  • ネットワーク情報 > ソースワークステーション名: [接続元ホスト名]
  • ネットワーク情報 > ソース ネットワーク アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: [接続元ポート番号]
6 Security 5140 File Share ネットワーク共有オブジェクトにアクセスしました。
  • サブジェクト > セキュリティ ID: [実行ユーザーSID]
  • サブジェクト > アカウント名: [アカウント名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト情報 > オブジェクトの種類: File
  • オブジェクト情報 > 送信元アドレス: [接続元IPアドレス]
  • オブジェクト情報 > ソース ポート: [接続元ポート番号]
  • 共有情報 > 共有名: (\\*\IPC$
  • アクセス要求情報 > アクセス: ReadData (または ListDirectory)
7 Security 5140 File Share ネットワーク共有オブジェクトにアクセスしました。
  • サブジェクト > セキュリティ ID: [実行ユーザーSID]
  • サブジェクト > アカウント名: [アカウント名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト情報 > オブジェクトの種類: File
  • オブジェクト情報 > 送信元アドレス: [接続元IPアドレス]
  • オブジェクト情報 > ソース ポート: [接続元ポート番号]
  • 共有情報 > 共有名: \\*\C$
  • 共有情報 > 共有パス: \??\C:\
  • アクセス要求情報 > アクセス: ReadData (または ListDirectory)
8 Security 5145 Detailed File Share クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [アカウント名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト情報 > オブジェクトの種類: File
  • オブジェクト情報 > 送信元アドレス: [接続元IPアドレス]
  • オブジェクト情報 > ソース ポート: [接続元ポート番号]
  • 共有情報 > 共有名: \\*\C$
  • 共有情報 > 共有パス: \??\C:\
  • 共有情報 > 相対ターゲット名: \
  • アクセス要求情報 > アクセス: SYNCHRONIZE, ReadAttributes
9 Security 4634 Logoff アカウントがログオフしました。
  • サブジェクト > セキュリティ ID: [実行したユーザーSID]
  • サブジェクト > アカウント名: [アカウント名]
  • サブジェクト > ログオン ID: [認証を実行したユーザーのセッションID]
  • ログオン タイプ: 3

- 備考