Fake wpad

- 目次

全てのセクションを開く | 全てのセクションを閉じる

- ツール概要

カテゴリ
通信の不正中継
説明
wpadサーバーとして動作し、クライアントからの通信内容を取得・変更する。
攻撃時における想定利用例
クライアントから外部Webサイトへの通信を不正中継することでレスポンスを改変し、攻撃者のサイトに誘導する不正なURLを埋め込む。

- ツール動作概要

- 概要

項目 接続元 接続先
通信プロトコル
  • 80/tcp
  • 8888/tcp
  • 80/tcp
  • 8888/tcp
権限 User Admin
ドメインへの所属 不要 不要
サービス - -
OS Windows Windows
備考 - Windowsファイアウォールで受信を許可する変更が必要なため、管理者権限が必要

- 動作確認環境

環境 動作可否
Windows 7 + Windows Server 2012 動作する
Windows 10 + Windows Server 2012 動作する
Windows 11 + Windows Server 2025 動作しない

- ログから得られる情報

標準設定
  • 接続元
    • レジストリ: 最後に取得されたプロキシ設定(レジストリ)が記録される ※通常時からwpadを使用している場合は区別出来ない
  • 接続先
    • Prefetch: 実行履歴
追加設定
  • 接続元
    • 監査ポリシー・Sysmon: 検体を実行しているホストに対して、80/tcp及び8888/tcpで通信していることが記録される
    • 監査ポリシー: wpad.datのキャッシュが作成されたことが記録される
  • 接続先
    • 監査ポリシー: 80/tcp及び8888/tcpをリッスンしたことが記録される。wpad.datや、プロキシのログであるproxy.logに対するハンドルの要求が記録される

- 実行成功時に確認できる痕跡

- 実行時に記録される主要な情報

- 接続元

イベントログ

# ログ イベントID タスクのカテゴリ イベント内容
1 Microsoft-Windows-Sysmon/Operational 3 Network connection detected Network connection detected
  • ProcessId: 4
  • Image: System
  • Protocol: udp
  • SourceIp: [送信元IPアドレス]
  • SourceHostname: [送信元ホスト名]
  • SourcePort: 137
  • DestinationIp: [送信先IPアドレス]
  • DestinationHostname: [送信先ホスト名]
  • DestinationPort: 137
2 Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted Registry object added or deleted
  • EventType: [処理の種類]
  • Image: C:\Program Files\Internet Explorer\iexplore.exe
  • ProcessId: [プロセスID]
  • TargetObject: \REGISTRY\USER\[ユーザーSID]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{[GUID]} 配下にWPADの設定が保存される
3 Security 4663 File System オブジェクトへのアクセスが試行されました。
  • オブジェクト > オブジェクト名: C:\Users\[ユーザー名]\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\[文字列]\wpad[1].htm
  • プロセス情報 > プロセス名: C:\Program Files\Internet Explorer\iexplore.exe
  • アクセス要求情報 > アクセス: WriteDataまたはAddFile
4 Microsoft-Windows-Sysmon/Operational 3 Network connection detected Network connection detected
  • Image: C:\Program Files\Internet Explorer\iexplore.exe
  • Protocol: tcp
  • SourceIp: [送信元IPアドレス]
  • SourceHostname: [送信元ホスト名]
  • SourcePort: [送信元ポート番号]
  • DestinationIp: [送信先IPアドレス]
  • DestinationHostname: [送信先ホスト名]
  • DestinationPort: 8888

レジストリエントリ

# パス 備考
1 HKEY_USERS\[ユーザーSID]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\WpadLastNetwork {[GUID]}
2 HKEY_USERS\[ユーザーSID]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad 配下 (複数データ)

MFT

# パス ヘッダフラグ 備考
1 [ドライブ名]:\Users\[ユーザー名]\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\[文字列]\wpad[1].htm FILE InUse

USNジャーナル

# ファイル名 処理 備考
1 wpad[1].htm
  • BASIC_INFO_CHANGE
  • CLOSE
  • DATA_EXTEND
  • FILE_CREATE

- 接続先

イベントログ

# ログ イベントID タスクのカテゴリ イベント内容
1 Microsoft-Windows-Sysmon/Operational 1 Process Create Process Create
  • UtcTime: [発生日時 (UTC)]
  • ProcessId: [プロセスID]
  • Image: [実行ファイルのパス]
  • CommandLine: [実行コマンドのコマンドライン]
  • User: [ドメイン名]\[ユーザー名]
2 Security 5156 Filtering Platform Connection Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセス ID: 4
  • アプリケーション情報 > アプリケーション名: System
  • ネットワーク情報 > 方向: 送信
  • ネットワーク情報 > 送信元アドレス: [接続先IPアドレス]
  • ネットワーク情報 > ソース ポート: 137
  • ネットワーク情報 > 宛先アドレス: [ブロードキャストアドレス]
  • ネットワーク情報 > 宛先ポート: 137
  • ネットワーク情報 > プロトコル: 17 (UDP)
3 Microsoft-Windows-Sysmon/Operational 3 Network connection detected Network connection detected
  • ProcessId: 4
  • Image: System
  • User: [ドメイン名]\[ユーザー名]
  • Protocol: udp
  • SourceIp: [送信元IPアドレス]
  • SourceHostname: [送信元ホスト名]
  • SourcePort: 137
  • DestinationIp: [送信先IPアドレス]
  • DestinationHostname: [送信先ホスト名]
  • DestinationPort: 137
4 Microsoft-Windows-Sysmon/Operational 3 Network connection detected Network connection detected
  • ProcessId: [プロセスID]
  • Image: [実行ファイルのパス]
  • User: [ドメイン名]\[ユーザー名]
  • Protocol: tcp
  • SourceIp: [送信元IPアドレス]
  • SourceHostname: [送信元ホスト名]
  • SourcePort: 80
  • DestinationIp: [送信先IPアドレス]
  • DestinationHostname: [送信先ホスト名]
  • DestinationPort: [送信先ポート番号]
5 Microsoft-Windows-Sysmon/Operational 3 Network connection detected Network connection detected
  • Image: [実行ファイルのパス]
  • User: [ドメイン名]\[ユーザー名]
  • Protocol: tcp
  • SourceIp: [送信元IPアドレス]
  • SourceHostname: [送信元ホスト名]
  • SourcePort: 8888
  • DestinationIp: [送信先IPアドレス]
  • DestinationHostname: [送信先ホスト名]
  • DestinationPort: [送信先ポート番号]
6 Security 4663 File System オブジェクトへのアクセスが試行されました。
  • オブジェクト > オブジェクト名: [実行ファイルのフォルダー]\proxy.log
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
  • アクセス要求情報 > アクセス: WriteData, AppendData

Prefetch

# Prefetchファイル プロセス名 プロセスパス 備考
1 C:\Windows\Prefetch\[実行ファイル名]-[ハッシュ値].pf


MFT

# パス ヘッダフラグ 備考
1 [ドライブ名]:\[実行ファイルのパス]\proxy.log FILE InUse

USNジャーナル

# ファイル名 処理 備考
1 proxy.log
  • DataExtend
  • Close

- 詳細情報

- 接続元

イベントログ

# ログ イベントID タスクのカテゴリ イベント内容
1 Microsoft-Windows-Sysmon/Operational 3 Network connection detected Network connection detected
  • ProcessId: 4
  • Image: System
  • User: [ドメイン名]\[ユーザー名]
  • Protocol: udp
  • SourceIp: [接続元IPアドレス]
  • SourceHostname: [接続元ホスト名]
  • SourcePort: 137
  • DestinationIp: [接続先IPアドレス]
  • DestinationHostname: [接続先ホスト名]
  • DestinationPort: 137
2 Security 5156 Filtering Platform Connection Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > アプリケーション名: System
  • ネットワーク情報 > 方向: 着信
  • ネットワーク情報 > 送信元アドレス: [送信元IPアドレス]
  • ネットワーク情報 > ソース ポート: 137
  • ネットワーク情報 > 宛先アドレス: [送信先IPアドレス]
  • ネットワーク情報 > 宛先ポート: 137
  • ネットワーク情報 > プロトコル: 17 (UDP)
3 Microsoft-Windows-Sysmon/Operational 1 Process Create Process Create
  • ProcessId: [プロセスID]
  • Image: C:\Program Files\Internet Explorer\iexplore.exe
  • CommandLine: C:\Program Files\Internet Explorer\iexplore.exe
  • CurrentDirectory: [作業ディレクトリ]
  • User: [ドメイン名]\[ユーザー名]
  • LogonId: [ログオンID]
  • IntegrityLevel: Medium
  • Hashes: [実行ファイルのハッシュ値]
  • ParentProcessId: [親プロセスID]
  • ParentImage: [親プロセスの実行ファイル]
  • ParentCommandLine: [親プロセスのコマンドライン]
4 Security 4688 Process Creation 新しいプロセスが作成されました。
  • 作成元サブジェクト > セキュリティ ID: [ユーザーSID]
  • 作成元サブジェクト > アカウント名: [ユーザー名]
  • 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
  • 作成元サブジェクト > ログオン ID: [ログオンID]
  • プロセス情報 > 新しいプロセス ID: [新しく作成されたプロセスID]
  • プロセス情報 > 新しいプロセス名: C:\Program Files\Internet Explorer\iexplore.exe
  • プロセス情報 > トークン昇格の種類: TokenElevationTypeDefault(1)
  • プロセス情報 > 作成元プロセス ID: [親プロセスID]
5 Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted Registry object added or deleted
  • EventType: [処理の種類]
  • Image: C:\Program Files\Internet Explorer\iexplore.exe
  • ProcessId: [プロセスID]
  • TargetObject: \REGISTRY\USER\[ユーザーSID]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{[GUID]}
6 Microsoft-Windows-Sysmon/Operational 13 Registry value set Registry value set
  • EventType: SetValue
  • Image: C:\Program Files\Internet Explorer\iexplore.exe
  • ProcessId: [プロセスID]
  • TargetObject: \REGISTRY\USER\[ユーザーSID]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{[GUID}\WpadDecisionReason
  • Details: DWORD:0x00000000
7 Microsoft-Windows-Sysmon/Operational 13 Registry value set Registry value set
  • EventType: SetValue
  • Image: C:\Program Files\Internet Explorer\iexplore.exe
  • ProcessId: [プロセスID]
  • TargetObject: \REGISTRY\USER\[ユーザーSID]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{[GUID]}\WpadDecisionTime
  • Details: Binary Data
8 Microsoft-Windows-Sysmon/Operational 13 Registry value set Registry value set
  • EventType: SetValue
  • Image: C:\Program Files\Internet Explorer\iexplore.exe
  • ProcessId: [プロセスID]
  • TargetObject: \REGISTRY\USER\[ユーザーSID]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{[GUID]}\WpadDecision
  • Details: DWORD:0x00000001
9 Microsoft-Windows-Sysmon/Operational 13 Registry value set Registry value set
  • EventType: SetValue
  • Image: C:\Program Files\Internet Explorer\iexplore.exe
  • ProcessId: [プロセスID]
  • TargetObject: \REGISTRY\USER\[ユーザーSID]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{[GUID]}\WpadNetworkName
  • Details: ネットワーク
10 Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted Registry object added or deleted
  • EventType: CreateKey
  • Image: C:\Program Files\Internet Explorer\iexplore.exe
  • ProcessId: [プロセスID]
  • TargetObject: \REGISTRY\USER\[ユーザーSID]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{[GUID]}\[MACアドレス]
11 Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted Registry object added or deleted
  • EventType: CreateKey
  • Image: C:\Program Files\Internet Explorer\iexplore.exe
  • ProcessId: [プロセスID]
  • TargetObject: \REGISTRY\USER\[ユーザーSID]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\[MACアドレス]
12 Microsoft-Windows-Sysmon/Operational 13 Registry value set Registry value set
  • EventType: SetValue
  • Image: C:\Program Files\Internet Explorer\iexplore.exe
  • ProcessId: [プロセスID]
  • TargetObject: \REGISTRY\USER\[ユーザーSID]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\[MACアドレス]\WpadDecisionReason
  • Details: DWORD:0x00000000
13 Microsoft-Windows-Sysmon/Operational 13 Registry value set Registry value set
  • EventType: SetValue
  • Image: C:\Program Files\Internet Explorer\iexplore.exe
  • ProcessId: [プロセスID]
  • TargetObject: \REGISTRY\USER\[ユーザーSID]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\[MACアドレス]\WpadDecisionTime
  • Details: Binary Data
14 Microsoft-Windows-Sysmon/Operational 13 Registry value set Registry value set
  • EventType: SetValue
  • Image: C:\Program Files\Internet Explorer\iexplore.exe
  • ProcessId: [プロセスID]
  • TargetObject: \REGISTRY\USER\[ユーザーSID]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\[MACアドレス]\WpadDecision
  • Details: DWORD:0x00000001
15 Microsoft-Windows-Sysmon/Operational 3 Network connection detected Network connection detected
  • ProcessId: [プロセスID]
  • Image: C:\Program Files\Internet Explorer\iexplore.exe
  • User: [ドメイン名]\[ユーザー名]
  • Protocol: tcp
  • SourceIp: [接続元IPアドレス]
  • SourceHostname: [接続元ホスト名]
  • SourcePort: [接続元ポート番号]
  • DestinationIp: [接続先IPアドレス]
  • DestinationHostname: [接続先ホスト名]
  • DestinationPort: 80
16 Security 5158 Filtering Platform Connection Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセス ID: [プロセスID]
  • アプリケーション情報 > アプリケーション名: \device\harddiskvolume2\program files\internet explorer\iexplore.exe
  • ネットワーク情報 > ソース ポート: [接続元ポート番号]
  • ネットワーク情報 > プロトコル: 6 (TCP)
17 Security 5156 Filtering Platform Connection Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセス ID: [プロセスID]
  • アプリケーション情報 > アプリケーション名: \device\harddiskvolume2\program files\internet explorer\iexplore.exe
  • ネットワーク情報 > 方向: 送信
  • ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: [接続元ポート番号]
  • ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
  • ネットワーク情報 > 宛先ポート: 80
  • ネットワーク情報 > プロトコル: 6 (TCP)
18 Microsoft-Windows-Sysmon/Operational 11 File created File created
  • ProcessId: [プロセスID]
  • Image: C:\Program Files\Internet Explorer\iexplore.exe
  • TargetFilename: C:\Users\[ユーザー名]\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\[文字列]\wpad[1].htm
  • CreationUtcTime: [ファイル作成日時 (UTC)]
19 Security 4656 File System オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: C:\Users\[ユーザー名]\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\[文字列]\wpad[1].htm
  • オブジェクト > ハンドル ID: [ハンドルID]
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Program Files\Internet Explorer\iexplore.exe
  • アクセス要求情報 > アクセス: WriteDataまたはAddFileを含む
20 Security 4663 File System オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: C:\Users\[ユーザー名]\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\[文字列]\wpad[1].htm
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: [プロセス名] ハンドルを閉じたプロセス名 (C:\Program Files\Internet Explorer\iexplore.exe
  • アクセス要求情報 > アクセス: WriteDataまたはAddFile
21 Security 4658 File System オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Program Files\Internet Explorer\iexplore.exe
22 Microsoft-Windows-Sysmon/Operational 3 Network connection detected Network connection detected
  • ProcessId: [プロセスID]
  • Image: C:\Program Files\Internet Explorer\iexplore.exe
  • User: [ドメイン名]\[ユーザー名]
  • Protocol: tcp
  • SourceIp: [接続元IPアドレス]
  • SourceHostname: [接続元ホスト名]
  • SourcePort: [接続元ポート番号]
  • DestinationIp: [接続先IPアドレス]
  • DestinationHostname: [接続先ホスト名]
  • DestinationPort: 8888
23 Security 5158 Filtering Platform Connection Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセス ID: [プロセスID]
  • アプリケーション情報 > アプリケーション名: \device\harddiskvolume2\program files\internet explorer\iexplore.exe
  • ネットワーク情報 > ソース ポート: [接続元ポート番号]
  • ネットワーク情報 > プロトコル: 6 (TCP)
24 Security 5156 Filtering Platform Connection Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセス ID: [プロセスID]
  • アプリケーション情報 > アプリケーション名: \device\harddiskvolume2\program files\internet explorer\iexplore.exe
  • ネットワーク情報 > 方向: 送信
  • ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: [接続元ポート番号]
  • ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
  • ネットワーク情報 > 宛先ポート: 8888
  • ネットワーク情報 > プロトコル: 6 (TCP)

レジストリエントリ

# パス 備考
1 HKEY_USERS\[ユーザーSID]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\WpadLastNetwork {[GUID]}
2 HKEY_USERS\[ユーザーSID]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\[MACアドレス]\WpadDecisionReason 0x00000000
3 HKEY_USERS\[ユーザーSID]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\[MACアドレス]\WpadDecisionTime ([バイナリ値])
4 HKEY_USERS\[ユーザーSID]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\[MACアドレス]\WpadDecision 0x00000001
5 HKEY_USERS\[ユーザーSID]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{[GUID]}\[MACアドレス] (値の設定無し)
6 HKEY_USERS\[ユーザーSID]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{[GUID]}\WpadDecisionReason 0x00000000
7 HKEY_USERS\[ユーザーSID]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{[GUID]}\WpadDecisionTime ([バイナリ値])
8 HKEY_USERS\[ユーザーSID]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{[GUID]}\WpadDecision 0x00000001
9 HKEY_USERS\[ユーザーSID]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{[GUID]}\WpadNetworkName ネットワーク

MFT

# パス ヘッダフラグ 備考
1 [ドライブ名]:\Users\[ユーザー名]\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\[文字列]\wpad[1].htm FILE InUse

USNジャーナル

# ファイル名 処理 備考
1 wpad[1].htm
  • FILE_CREATE
 archive|not_indexed
2 wpad[1].htm
  • BASIC_INFO_CHANGE
  • FILE_CREATE
 archive|not_indexed
3 wpad[1].htm
  • BASIC_INFO_CHANGE
  • DATA_EXTEND
  • FILE_CREATE
 archive|not_indexed
4 wpad[1].htm
  • BASIC_INFO_CHANGE
  • CLOSE
  • DATA_EXTEND
  • FILE_CREATE
 archive|not_indexed

- 接続先

イベントログ

# ログ イベントID タスクのカテゴリ イベント内容
1 Microsoft-Windows-Sysmon/Operational 1 Process Create Process Create
  • ProcessId: [プロセスID]
  • Image: [実行ファイルのパス]
  • CommandLine: [実行コマンドのコマンドライン]
  • CurrentDirectory: [作業ディレクトリ]
  • User: [ドメイン名]\[ユーザー名]
  • LogonId: [ログオンID]
  • IntegrityLevel: Medium
  • Hashes: [実行ファイルのハッシュ値]
  • ParentProcessId: [親プロセスID]
  • ParentImage: [親プロセスの実行ファイル]
  • ParentCommandLine: [親プロセスのコマンドライン]
2 Security 4688 Process Creation 新しいプロセスが作成されました。
  • 作成元サブジェクト > セキュリティ ID: [ユーザのSID]
  • 作成元サブジェクト > アカウント名: [ユーザー名]
  • 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
  • 作成元サブジェクト > ログオン ID: [ログオンID]
  • プロセス情報 > 新しいプロセス ID: [新しく作成されたプロセスID]
  • プロセス情報 > 新しいプロセス名: [実行ファイルのパス]
  • プロセス情報 > トークン昇格の種類: TokenElevationTypeDefault(1)
  • プロセス情報 > 作成元プロセス ID: [親プロセスID]
  • プロセス情報 > 作成元プロセス名: [親プロセス名]
3 Security 5156 Filtering Platform Connection Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセス ID: 4
  • アプリケーション情報 > アプリケーション名: System
  • ネットワーク情報 > 方向: 送信
  • ネットワーク情報 > 送信元アドレス: [接続先IPアドレス]
  • ネットワーク情報 > ソース ポート: 137
  • ネットワーク情報 > 宛先アドレス: ブロードキャストアドレス
  • ネットワーク情報 > 宛先ポート: 137
  • ネットワーク情報 > プロトコル: 17 (UDP)
4 Security 5156 Filtering Platform Connection Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセス ID: [プロセスID]
  • アプリケーション情報 > アプリケーション名: System
  • ネットワーク情報 > 方向: 着信
  • ネットワーク情報 > 送信元アドレス: ブロードキャストアドレス
  • ネットワーク情報 > ソース ポート: 137
  • ネットワーク情報 > 宛先アドレス: [接続元IPアドレス]
  • ネットワーク情報 > 宛先ポート: 137
  • ネットワーク情報 > プロトコル: 17 (UDP)
5 Microsoft-Windows-Sysmon/Operational 3 Network connection detected Network connection detected
  • ProcessId: 4
  • Image: System
  • User: [ドメイン名]\[ユーザー名]
  • Protocol: udp
  • SourceIp: [接続先IPアドレス]
  • SourceHostname: [接続先ホスト名]
  • SourcePort: 137
  • DestinationIp: [接続元IPアドレス]
  • DestinationHostname: [接続元ホスト名]
  • DestinationPort: 137
6 Security 5156 Filtering Platform Connection Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセス ID: [プロセスID]
  • アプリケーション情報 > アプリケーション名: System
  • ネットワーク情報 > 方向: 送信
  • ネットワーク情報 > 送信元アドレス: [接続先IPアドレス]
  • ネットワーク情報 > ソース ポート: 137
  • ネットワーク情報 > 宛先アドレス: [接続元IPアドレス]
  • ネットワーク情報 > 宛先ポート: 137
  • ネットワーク情報 > プロトコル: 17 (UDP)
7 Microsoft-Windows-Sysmon/Operational 3 Network connection detected Network connection detected
  • ProcessId: [プロセスID]
  • Image: [実行ファイルのパス]
  • User: [ドメイン名]\[ユーザー名]
  • Protocol: tcp
  • SourceIp: [接続先IPアドレス]
  • SourceHostname: [接続先ホスト名]
  • SourcePort: 80
  • DestinationIp: [接続元IPアドレス]
  • DestinationHostname: [接続元ホスト名]
  • DestinationPort: [接続元ポート番号]
8 Security 5156 Filtering Platform Connection Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセス ID: [プロセスID]
  • アプリケーション情報 > アプリケーション名: System
  • ネットワーク情報 > 方向: 着信
  • ネットワーク情報 > 送信元アドレス: [接続先IPアドレス]
  • ネットワーク情報 > ソース ポート: 80
  • ネットワーク情報 > 宛先アドレス: [接続元IPアドレス]
  • ネットワーク情報 > 宛先ポート: [接続元ポート番号]
  • ネットワーク情報 > プロトコル: 6 (TCP)
9 Security 4656 File System オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: [wpad.datプロキシ設定ファイルのパス]
  • オブジェクト > ハンドル ID: [ハンドルID]
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
  • アクセス要求情報 > アクセス: [要求された権限]
10 Security 4658 File System オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
11 Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted Registry object added or deleted
  • EventType: CreateKey
  • Image: [実行ファイルのパス]
  • ProcessId: [プロセスID]
  • TargetObject: \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\Tcpip\Parameters
12 Microsoft-Windows-Sysmon/Operational 3 Network connection detected Network connection detected
  • ProcessId: [プロセスID]
  • Image: [実行ファイルのパス]
  • User: [ドメイン名]\[ユーザー名]
  • Protocol: tcp
  • SourceIp: [接続元IPアドレス]
  • SourceHostname: [接続元ホスト名]
  • SourcePort: [接続元ポート番号]
  • DestinationIp: [接続先IPアドレス]
  • DestinationHostname: [接続先ホスト名]
  • DestinationPort: 80
13 Security 5156 Filtering Platform Connection Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセス ID: [プロセスID]
  • アプリケーション情報 > アプリケーション名: 実行ファイルのパス
  • ネットワーク情報 > 方向: 着信
  • ネットワーク情報 > 送信元アドレス: [接続先IPアドレス]
  • ネットワーク情報 > ソース ポート: 80
  • ネットワーク情報 > 宛先アドレス: [接続元IPアドレス]
  • ネットワーク情報 > 宛先ポート: [接続元ポート番号]
  • ネットワーク情報 > プロトコル: 6 (TCP)
14 Microsoft-Windows-Sysmon/Operational 3 Network connection detected Network connection detected
  • ProcessId: [プロセスID]
  • Image: [実行ファイルのパス]
  • User: [ドメイン名]\[ユーザー名]
  • Protocol: tcp
  • SourceIp: [接続先IPアドレス]
  • SourceHostname: [接続先ホスト名]
  • SourcePort: 8888
  • DestinationIp: [接続元IPアドレス]
  • DestinationHostname: [接続元ホスト名]
  • DestinationPort: [接続元ポート番号]
15 Security 5156 Filtering Platform Connection Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセス ID: [プロセスID]
  • アプリケーション情報 > アプリケーション名: 実行ファイルのパス
  • ネットワーク情報 > 方向: 着信
  • ネットワーク情報 > 送信元アドレス: [接続先IPアドレス]
  • ネットワーク情報 > ソース ポート: 8888
  • ネットワーク情報 > 宛先アドレス: [接続元IPアドレス]
  • ネットワーク情報 > 宛先ポート: [接続元ポート番号]
  • ネットワーク情報 > プロトコル: 6 (TCP)
16 Microsoft-Windows-Sysmon/Operational 11 File created File created
  • ProcessId: [プロセスID]
  • Image: [実行ファイルのパス]
  • TargetFilename: [実行ファイルのフォルダ]\proxy.log
  • CreationUtcTime: [ファイル作成日時 (UTC)]
17 Security 4656 File System オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: [実行ファイルのフォルダー]\proxy.log
  • オブジェクト > ハンドル ID: [ハンドルID]
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
  • アクセス要求情報 > アクセス: WriteDataまたはAddFile、AppendDataを含む
18 Security 4663 File System オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクトの種類: [対象の区分]
  • オブジェクト > オブジェクト名: [実行ファイルのフォルダー]\proxy.log
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
  • アクセス要求情報 > アクセス: WriteData, AppendData
19 Security 4658 File System オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティ ID: [ユーザのSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
20 Microsoft-Windows-Sysmon/Operational 11 File created File created
  • ProcessId: [プロセスID]
  • Image: C:\Windows\System32\svchost.exe
  • TargetFilename: C:\Windows\Prefetch\[実行ファイル名]-[ハッシュ値].pf
  • CreationUtcTime: [ファイル作成日時 (UTC)]
21 Security 4656 File System オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: C:\Windows\Prefetch\[実行ファイル名]-[ハッシュ値].pf
  • オブジェクト > ハンドル ID: [ハンドルID]
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
  • アクセス要求情報 > アクセス: WriteDataまたはAddFile、AppendDataを含む
22 Security 4663 File System オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: C:\Windows\Prefetch\[実行ファイル名]-[ハッシュ値].pf
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
  • アクセス要求情報 > アクセス: WriteDataまたはAddFile, AppendData
23 Security 4658 File System オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
24 Microsoft-Windows-Sysmon/Operational 5 Process terminated Process terminated.
  • UtcTime: [終了日時 (UTC)]
  • ProcessId: [プロセスID]
  • Image: [実行ファイルのパス]
25 Security 4689 Process Termination プロセスが終了しました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]

Prefetch

# Prefetchファイル プロセス名 プロセスパス 備考
1 C:\Windows\Prefetch\[実行ファイル名]-[ハッシュ値].pf [実行ファイル名] [実行ファイルのパス] Last run(最終実行日時)

MFT

# パス ヘッダフラグ 備考
1 [ドライブ名]:\Windows\Prefetch\[実行ファイル名]-[ハッシュ値].pf FILE InUse
2 [ドライブ名]:\[実行ファイルのパス]\proxy.log FILE InUse

USNジャーナル

# ファイル名 処理 備考
1 [実行ファイル名]-[ハッシュ値].pf
  • FILE_CREATE
  • archive|not_indexed
2 [実行ファイル名]-[ハッシュ値].pf
  • DATA_EXTEND
  • FILE_CREATE
  • archive|not_indexed
3 [実行ファイル名]-[ハッシュ値].pf
  • CLOSE
  • DATA_EXTEND
  • FILE_CREATE
  • archive|not_indexed
4 proxy.log
  • FILE_CREATE
  • archive
5 proxy.log
  • DATA_EXTEND
  • FILE_CREATE
  • archive
6 proxy.log
  • CLOSE
  • DATA_EXTEND
  • FILE_CREATE
  • archive
7 proxy.log
  • DATA_EXTEND
  • archive
8 proxy.log
  • CLOSE
  • DATA_EXTEND
  • archive