Fake wpad

- 目次

全てのセクションを開く | 全てのセクションを閉じる

- ツール概要

カテゴリ
通信の不正中継
説明
wpadサーバとして動作し、クライアントからの通信内容を取得・変更する。
攻撃時における想定利用例
クライアントから外部Webサイトへの通信を不正中継することでレスポンスを改変し、攻撃者のサイトに誘導する不正なURLを埋め込む。

- ツール動作概要

項目 接続元 接続先
ドメインへの所属 不要
OS Windows
通信プロトコル 80/tcp、8888/tcp 80/tcp, 8888/tcp
権限 標準ユーザー 管理者権限 (Windowsファイアウォールで受信を許可する変更が必要なため、管理者権限が必要)

- ログから得られる情報

標準設定
  • 接続元
    • 最後に取得されたプロキシ設定(レジストリ)が記録される ※ 通常時からwpadを使用している場合は区別出来ない
  • 接続先
    • 実行履歴 (Prefetch)
追加設定
  • 接続元
    • 検体を実行しているホストに対して、80/tcp及び8888/tcpで通信していることが記録される (監査ポリシー, Sysmon)
    • wpad.datのキャッシュが作成されたことが記録される (監査ポリシー)
  • 接続先
    • 80/tcp及び8888/tcpをリッスンしたことが記録される (監査ポリシー)
    • wpad.datや、プロキシのログであるproxy.logに対するハンドルの要求が記録される (監査ポリシー)

- 実行成功時に確認できる痕跡

- 実行時に記録される主要な情報

- 接続元

イベントログ

# ログ イベントID タスクのカテゴリ イベント内容
1 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID (4)
  • Image: 実行ファイルのパス (System)
  • Protocol: プロトコル (udp)
  • SourceIp/SourceHostname/SourcePort: 送信元IPアドレス/ホスト名/ポート番号 (ポートは137)
  • DestinationIp/DestinationHostname/DestinationPort: 宛先IPアドレス/ホスト名/ポート番号 (ポートは137)
2 Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted (rule: RegistryEvent) Registry object added or deleted.
  • EventType: 処理の種類
  • Image: 実行ファイルのパス (C:\Program Files\Internet Explorer\iexplore.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 作成・削除されたレジストリキー・値 (\REGISTRY\USER\[ユーザーSID]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{[GUID]} 配下にWPADの設定が保存される)
3 セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\[文字列]\wpad[1].htm)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Program Files\Internet Explorer\iexplore.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile)
4 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Program Files\Internet Explorer\iexplore.exe)
  • Protocol: プロトコル (tcp)
  • SourceIp/SourceHostname/SourcePort: 送信元IPアドレス/ホスト名/ポート番号
  • DestinationIp/DestinationHostname/DestinationPort: 宛先IPアドレス/ホスト名/ポート番号 (ポートは8888)

MFT

# パス ヘッダフラグ 有効
1 [ドライブ名]:\Users\[ユーザー名]\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\[文字列]\wpad[1].htm FILE ALLOCATED

レジストリエントリ

# パス
1 HKEY_USERS\[ユーザーSID]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\WpadLastNetwork {[GUID]}
2 HKEY_USERS\[ユーザーSID]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad 配下 (複数データ)

USNジャーナル

# ファイル名 処理
1 wpad[1].htm BASIC_INFO_CHANGE+CLOSE+DATA_EXTEND+FILE_CREATE

- 接続先

イベントログ

# ログ イベントID タスクのカテゴリ イベント内容
1 Microsoft-Windows-Sysmon/Operational 1 Process Create (rule: ProcessCreate) Process Create.
  • UtcTime: プロセス実行日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (検体のパス)
  • CommandLine: 実行コマンドのコマンドライン (検体の実行ファイル名)
  • User: 実行ユーザー
2 セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。 (接続元がWPADを取得する際に使用する、"WPAD"というホスト名をNetBIOSにて登録する)
  • アプリケーション情報 > プロセスID: プロセスID (4)
  • アプリケーション情報 > アプリケーション名: 実行プロセス (System)
  • ネットワーク情報 > 方向: 通信方向 (送信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続先IPアドレス)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (137)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (ブロードキャストアドレス)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (137)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (17=UDP)
3 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID (4)
  • Image: 実行ファイルのパス (System)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (udp)
  • SourceIp/SourceHostname/SourcePort: 送信元IPアドレス/ホスト名/ポート番号 (ポートは137)
  • DestinationIp/DestinationHostname/DestinationPort: 宛先IPアドレス/ホスト名/ポート番号 (ポートは137)
4 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected. (WPAD取得の通信)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (検体のパス)
  • User: 実行ユーザー
  • Protocol: プロトコル (tcp)
  • SourceIp/SourceHostname/SourcePort: 送信元IPアドレス/ホスト名/ポート番号 (ポートは80)
  • DestinationIp/DestinationHostname/DestinationPort: 宛先IPアドレス/ホスト名/ポート番号
5 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected. (プロキシを利用したHTTP通信。中継ソフトウェアやWPADの内容により、異なるポート番号が使用される可能性がある)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (検体のパス)
  • User: 実行ユーザー
  • Protocol: プロトコル (tcp)
  • SourceIp/SourceHostname/SourcePort: 送信元IPアドレス/ホスト名/ポート番号 (ポートは8888)
  • DestinationIp/DestinationHostname/DestinationPort: 宛先IPアドレス/ホスト名/ポート番号
6 セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。 (検体のフォルダーに、"proxy.log"ファイルが作成される。WPADを提供した場合や、HTTPの通信がトンネリングされた場合には、このファイルに書き込まれる)
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • オブジェクト > オブジェクト名: 対象のファイル名 ([検体のフォルダー]\proxy.log)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (検体のパス)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteData, AppendData)

MFT

# パス ヘッダフラグ 有効
1 [ドライブ名]:\[検体のパス]\proxy.log FILE ALLOCATED

Prefetch

USNジャーナル

# ファイル名 処理
1 proxy.log CLOSE+DATA_EXTEND

- 詳細:接続元

- イベントログ

# イベントログ イベントID タスクのカテゴリ イベント内容
1 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID (4)
  • Image: 実行ファイルのパス (System)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (udp)
  • SourceIp: 送信元IPアドレス (接続元IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続元ホスト名)
  • SourcePort: 送信元ポート番号 (137)
  • DestinationIp: 宛先IPアドレス (接続先IPアドレス)
  • DestinationHostname: 宛先ホスト名 (接続先ホスト名)
  • DestinationPort: 宛先ポート番号 (137)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (System)
  • ネットワーク情報 > 方向: 通信方向 (着信)
  • ネットワーク情報 > 送信元アドレス/ソース ポート: 送信元IPアドレス/ポート番号
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (137)
  • ネットワーク情報 > 宛先アドレス/宛先ポート: 宛先IPアドレス/ポート番号
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続先ホスト)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (137)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (17=UDP)
2 Microsoft-Windows-Sysmon/Operational 1 Process Create (rule: ProcessCreate) Process Create.
  • UtcTime: プロセス実行日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Program Files\Internet Explorer\iexplore.exe)
  • CommandLine: 実行コマンドのコマンドライン (C:\Program Files\Internet Explorer\iexplore.exe)
  • CurrentDirectory: 作業ディレクトリ
  • User: 実行ユーザー
  • LogonGuid/LogonId: ログオンセッションのID
  • IntegrityLevel: 特権レベル (Medium)
  • Hashes: 実行ファイルのハッシュ値
  • ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID
  • ParentImage: 親プロセスの実行ファイル
  • ParentCommandLine: 親プロセスのコマンドライン
セキュリティ 4688 プロセス作成 新しいプロセスが作成されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > 新しいプロセスID: プロセスID (16進数)
  • プロセス情報 > 新しいプロセス名: 実行ファイルのパス (C:\Program Files\Internet Explorer\iexplore.exe)
  • プロセス情報 > トークン昇格の種類: 権限昇格の有無 (1)
  • プロセス情報 > 作成元プロセスID: 新プロセスを作成した親プロセスのプロセスID。Windows 7では「クリエイター プロセスID」
  • ログの日時: プロセス実行日時 (ローカル時刻)
3 Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted (rule: RegistryEvent) Registry object added or deleted.
  • EventType: 処理の種類
  • Image: 実行ファイルのパス (C:\Program Files\Internet Explorer\iexplore.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 作成・削除されたレジストリキー・値 (\REGISTRY\USER\[ユーザーSID]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{[GUID]})
Microsoft-Windows-Sysmon/Operational 13 Registry value set (rule: RegistryEvent) Registry value set.
  • EventType: 処理の種類 (SetValue)
  • Image: 実行ファイルのパス (C:\Program Files\Internet Explorer\iexplore.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 書き込み先のレジストリ値 (\REGISTRY\USER\[ユーザーSID]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{[GUID}\WpadDecisionReason)
  • Details: レジストリに書き込まれた設定値 (DWORD:0x00000000)
Microsoft-Windows-Sysmon/Operational 13 Registry value set (rule: RegistryEvent) Registry value set.
  • EventType: 処理の種類 (SetValue)
  • Image: 実行ファイルのパス (C:\Program Files\Internet Explorer\iexplore.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 書き込み先のレジストリ値 (\REGISTRY\USER\[ユーザーSID]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{[GUID]}\WpadDecisionTime)
  • Details: レジストリに書き込まれた設定値 (Binary Data)
Microsoft-Windows-Sysmon/Operational 13 Registry value set (rule: RegistryEvent) Registry value set.
  • EventType: 処理の種類 (SetValue)
  • Image: 実行ファイルのパス (C:\Program Files\Internet Explorer\iexplore.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 書き込み先のレジストリ値 (\REGISTRY\USER\[ユーザーSID]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{[GUID]}\WpadDecision)
  • Details: レジストリに書き込まれた設定値 (DWORD:0x00000001)
Microsoft-Windows-Sysmon/Operational 13 Registry value set (rule: RegistryEvent) Registry value set.
  • EventType: 処理の種類 (SetValue)
  • Image: 実行ファイルのパス (C:\Program Files\Internet Explorer\iexplore.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 書き込み先のレジストリ値 (\REGISTRY\USER\[ユーザーSID]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{[GUID]}\WpadNetworkName)
  • Details: レジストリに書き込まれた設定値 (ネットワーク)
Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted (rule: RegistryEvent) Registry object added or deleted.
  • EventType: 処理の種類 (CreateKey)
  • Image: 実行ファイルのパス (C:\Program Files\Internet Explorer\iexplore.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 作成・削除されたレジストリキー・値 (\REGISTRY\USER\[ユーザーSID]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{[GUID]}\[MACアドレス])
Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted (rule: RegistryEvent) Registry object added or deleted.
  • EventType: 処理の種類 (CreateKey)
  • Image: 実行ファイルのパス (C:\Program Files\Internet Explorer\iexplore.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 作成・削除されたレジストリキー・値 (\REGISTRY\USER\[ユーザーSID]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\[MACアドレス])
Microsoft-Windows-Sysmon/Operational 13 Registry value set (rule: RegistryEvent) Registry value set.
  • EventType: 処理の種類 (SetValue)
  • Image: 実行ファイルのパス (C:\Program Files\Internet Explorer\iexplore.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 書き込み先のレジストリ値 (\REGISTRY\USER\[ユーザーSID]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\[MACアドレス]\WpadDecisionReason)
  • Details: レジストリに書き込まれた設定値 (DWORD:0x00000000)
Microsoft-Windows-Sysmon/Operational 13 Registry value set (rule: RegistryEvent) Registry value set.
  • EventType: 処理の種類 (SetValue)
  • Image: 実行ファイルのパス (C:\Program Files\Internet Explorer\iexplore.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 書き込み先のレジストリ値 (\REGISTRY\USER\[ユーザーSID]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\[MACアドレス]\WpadDecisionTime)
  • Details: レジストリに書き込まれた設定値 (Binary Data)
Microsoft-Windows-Sysmon/Operational 13 Registry value set (rule: RegistryEvent) Registry value set.
  • EventType: 処理の種類 (SetValue)
  • Image: 実行ファイルのパス (C:\Program Files\Internet Explorer\iexplore.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 書き込み先のレジストリ値 (\REGISTRY\USER\[ユーザーSID]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\[MACアドレス]\WpadDecision)
  • Details: レジストリに書き込まれた設定値 (DWORD:0x00000001)
4 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Program Files\Internet Explorer\iexplore.exe)
  • User: 実行ユーザー
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (接続元IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続元ホスト名)
  • SourcePort: 送信元ポート番号 (ハイポート)
  • DestinationIp: 宛先IPアドレス (接続先IPアドレス)
  • DestinationHostname: 宛先ホスト名 (接続先ホスト名)
  • DestinationPort: 宛先ポート番号 (80)
セキュリティ 5158 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\program files\internet explorer\iexplore.exe)
  • ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
  • ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\program files\internet explorer\iexplore.exe)
  • ネットワーク情報 > 方向: 通信方向 (送信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続先ホスト)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号80
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
5 Microsoft-Windows-Sysmon/Operational 11 File created (rule: FileCreate) File created.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Program Files\Internet Explorer\iexplore.exe)
  • TargetFilename: 作成されたファイル (C:\Users\[ユーザー名]\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\[文字列]\wpad[1].htm)
  • CreationUtcTime: ファイル作成日時 (UTC)
セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\[文字列]\wpad[1].htm)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Program Files\Internet Explorer\iexplore.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile を含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\[文字列]\wpad[1].htm)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Program Files\Internet Explorer\iexplore.exe)
  • アクセス要求情報 > アクセス: 要求された権限 (WriteAttributes, WriteData, AppendData)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Program Files\Internet Explorer\iexplore.exe)
6 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Program Files\Internet Explorer\iexplore.exe)
  • User: 実行ユーザー
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (接続元IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続元ホスト名)
  • SourcePort: 送信元ポート番号 (ハイポート)
  • DestinationIp: 宛先IPアドレス (接続先IPアドレス)
  • DestinationHostname: 宛先ホスト名 (接続先ホスト名)
  • DestinationPort: 宛先ポート番号 (8888)
セキュリティ 5158 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\program files\internet explorer\iexplore.exe)
  • ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
  • ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\program files\internet explorer\iexplore.exe)
  • ネットワーク情報 > 方向: 通信方向 (送信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続先ホスト)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (8888)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)

- MFT

# パス ヘッダフラグ 有効
1 [ドライブ名]:\Users\[ユーザー名]\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\[文字列]\wpad[1].htm FILE ALLOCATED

- レジストリエントリ

# パス 種類
1 HKEY_USERS\[ユーザーSID]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\WpadLastNetwork String {[GUID]}
2 HKEY_USERS\[ユーザーSID]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\[MACアドレス]\WpadDecisionReason DWORD 0x00000000
HKEY_USERS\[ユーザーSID]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\[MACアドレス]\WpadDecisionTime String ([バイナリ値])
HKEY_USERS\[ユーザーSID]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\[MACアドレス]\WpadDecision DWORD 0x00000001
3 HKEY_USERS\[ユーザーSID]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{[GUID]}\[MACアドレス] Key (値の設定無し)
HKEY_USERS\[ユーザーSID]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{[GUID]}\WpadDecisionReason DWORD 0x00000000
HKEY_USERS\[ユーザーSID]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{[GUID]}\WpadDecisionTime String ([バイナリ値])
HKEY_USERS\[ユーザーSID]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{[GUID]}\WpadDecision DWORD 0x00000001
HKEY_USERS\[ユーザーSID]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{[GUID]}\WpadNetworkName String ネットワーク

- USNジャーナル

# ファイル名 処理 属性
1 wpad[1].htm FILE_CREATE archive+not_indexed
wpad[1].htm BASIC_INFO_CHANGE+FILE_CREATE archive+not_indexed
wpad[1].htm BASIC_INFO_CHANGE+DATA_EXTEND+FILE_CREATE archive+not_indexed
wpad[1].htm BASIC_INFO_CHANGE+CLOSE+DATA_EXTEND+FILE_CREATE archive+not_indexed

- 詳細:接続先

- イベントログ

# イベントログ イベントID タスクのカテゴリ イベント内容
1 Microsoft-Windows-Sysmon/Operational 1 Process Create (rule: ProcessCreate) Process Create.
  • UtcTime: プロセス実行日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (検体のパス)
  • CommandLine: 実行コマンドのコマンドライン (検体の実行ファイル名)
  • CurrentDirectory: 作業ディレクトリ
  • User: 実行ユーザー
  • LogonGuid/LogonId: ログオンセッションのID
  • IntegrityLevel: 特権レベル (Medium)
  • Hashes: 実行ファイルのハッシュ値
  • ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID
  • ParentImage: 親プロセスの実行ファイル
  • ParentCommandLine: 親プロセスのコマンドライン
セキュリティ 4688 プロセス作成 新しいプロセスが作成されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > 新しいプロセスID: プロセスID (16進数)
  • プロセス情報 > 新しいプロセス名: 実行ファイルのパス (検体のパス)
  • プロセス情報 > トークン昇格の種類: 権限昇格の有無 (1)
  • プロセス情報 > 必須ラベル: 権限昇格の要否
  • プロセス情報 > 作成元プロセスID: 新プロセスを作成した親プロセスのプロセスID。Windows 7では「クリエイター プロセスID」
  • プロセス情報 > 作成元プロセス名: 新プロセスを作成した親プロセスのパス
  • ログの日時: プロセス実行日時 (ローカル時刻)
2 セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID (4)
  • アプリケーション情報 > アプリケーション名: 実行プロセス (System)
  • ネットワーク情報 > 方向: 通信方向 (送信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続先IPアドレス)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (137)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (ブロードキャストアドレス)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (137)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (17=UDP)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (System)
  • ネットワーク情報 > 方向: 通信方向 (着信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (ブロードキャストアドレス)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (137)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続元IPアドレス)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (137)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (17=UDP)
3 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID (4)
  • Image: 実行ファイルのパス (System)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (udp)
  • SourceIp: 送信元IPアドレス (接続先IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続先ホスト名)
  • SourcePort: 送信元ポート番号 (137)
  • DestinationIp: 宛先IPアドレス (接続元IPアドレス)
  • DestinationHostname: 宛先ホスト名 (接続元ホスト名)
  • DestinationPort: 宛先ポート番号 (137)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (System)
  • ネットワーク情報 > 方向: 通信方向 (送信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続先IPアドレス)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (137)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続元IPアドレス)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (137)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (17=UDP)
4 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (検体のパス)
  • User: 実行ユーザー
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (接続先IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続先ホスト名)
  • SourcePort: 送信元ポート番号 (80)
  • DestinationIp: 宛先IPアドレス (接続元IPアドレス)
  • DestinationHostname: 宛先ホスト名 (接続元ホスト名)
  • DestinationPort: 宛先ポート番号 (ハイポート)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (System)
  • ネットワーク情報 > 方向: 通信方向 (着信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続先IPアドレス)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (80)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続元IPアドレス)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
5 セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (wpad.datプロキシ設定ファイルのパス)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (検体のパス)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (検体のパス)
6 Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted (rule: RegistryEvent) Registry object added or deleted.
  • EventType: 処理の種類 (CreateKey)
  • Image: 実行ファイルのパス (検体のパス)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 作成・削除されたレジストリキー・値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\services\Tcpip\Parameters)
7 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (検体のパス)
  • User: 実行ユーザー
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (接続元IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続元ホスト名)
  • SourcePort: 送信元ポート番号 (ハイポート)
  • DestinationIp: 宛先IPアドレス (接続先IPアドレス)
  • DestinationHostname: 宛先ホスト名 (接続先ホスト名)
  • DestinationPort: 宛先ポート番号 (80)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (検体のパス)
  • ネットワーク情報 > 方向: 通信方向 (着信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続先ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (80)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続元ホスト)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
8 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (検体のパス)
  • User: 実行ユーザー
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (接続先IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続先ホスト名)
  • SourcePort: 送信元ポート番号 (8888)
  • DestinationIp: 宛先IPアドレス (接続元IPアドレス)
  • DestinationHostname: 宛先ホスト名 (接続元ホスト名)
  • DestinationPort: 宛先ポート番号 (ハイポート)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (検体のパス)
  • ネットワーク情報 > 方向: 通信方向 (着信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続先IPアドレス)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (8888)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続元IPアドレス)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
9 Microsoft-Windows-Sysmon/Operational 11 File created (rule: FileCreate) File created.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (検体のパス)
  • TargetFilename: 作成されたファイル ([検体のフォルダー]\proxy.log)
  • CreationUtcTime: ファイル作成日時 (UTC)
セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 ([検体のフォルダー]\proxy.log)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (検体のパス)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分
  • オブジェクト > オブジェクト名: 対象のファイル名 ([検体のフォルダー]\proxy.log)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (検体のパス)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteData, AppendData)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID: 実行したユーザーSID (SYSTEM)
  • サブジェクト > アカウント名: 実行したアカウント名 (接続先ホスト名)
  • サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン (ドメイン)
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\svchost.exe)
10 Microsoft-Windows-Sysmon/Operational 11 File created (rule: FileCreate) File created.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\svchost.exe)
  • TargetFilename: 作成されたファイル (C:\Windows\Prefetch\[検体の実行ファイル名]-[文字列].pf)
  • CreationUtcTime: ファイル作成日時 (UTC)
セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\[検体の実行ファイル名]-[文字列].pf)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\[検体の実行ファイル名]-[文字列].pf)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendData)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\svchost.exe)
11 Microsoft-Windows-Sysmon/Operational 5 Process terminated (rule: ProcessTerminate) Process terminated.
  • UtcTime: プロセス終了日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (検体のパス)
セキュリティ 4689 プロセス終了 プロセスが終了しました。
  • ログの日時: プロセス終了日時 (ローカル時刻)
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: 実行ファイルのパス (検体のパス)
  • プロセス情報 > 終了状態: プロセスの戻り値

- MFT

# パス ヘッダフラグ 有効
1 [ドライブ名]:\Windows\Prefetch\[検体の実行ファイル名]-[文字列].pf FILE ALLOCATED
2 [ドライブ名]:\[検体のパス]\proxy.log FILE ALLOCATED

- Prefetch

# Prefetchファイル プロセス名 プロセスパス ログから得られる情報
1 C:\Windows\Prefetch\[検体の実行ファイル名]-[文字列].pf [検体の実行ファイル名] [検体のパス] Last Run Time (最終実行日時)

- USNジャーナル

# ファイル名 処理 属性
1 [検体の実行ファイル名]-[文字列].pf FILE_CREATE archive+not_indexed
[検体の実行ファイル名]-[文字列].pf DATA_EXTEND+FILE_CREATE archive+not_indexed
[検体の実行ファイル名]-[文字列].pf CLOSE+DATA_EXTEND+FILE_CREATE archive+not_indexed
2 proxy.log FILE_CREATE archive
proxy.log DATA_EXTEND+FILE_CREATE archive
proxy.log CLOSE+DATA_EXTEND+FILE_CREATE archive
3 proxy.log DATA_EXTEND archive
proxy.log CLOSE+DATA_EXTEND archive

- 備考