Htran

- 目次

ツール概要
ツール動作概要
ログから得られる情報
実行成功時に確認できる痕跡
実行時に記録される主要な情報
詳細：接続元
詳細：接続先
備考

全てのセクションを開く | 全てのセクションを閉じる

- ツール概要

カテゴリ: 通信の不正中継
説明: 通信をトンネリングさせる。
攻撃時における想定利用例: ファイアウォールなどで許可されているポートを経由して、許可されていないポートの通信を通過させる。

- ツール動作概要

項目	接続元	接続先
通信プロトコル	任意のTCPポート
OS	Windows
権限	標準ユーザー
ドメインへの所属	不要

- ログから得られる情報

標準設定

接続元
- 実行履歴 (Prefetch)
接続先
- トンネル経由で実行されたアプリケーションに依存する

追加設定

接続元
- 実行履歴 (監査ポリシー, Sysmon)
接続先
- トンネルホスト(攻撃者)・トンネル先ホスト(接続先)との通信有無 (監査ポリシー)
- トンネル経由で実行されたアプリケーションに依存する

- 実行成功時に確認できる痕跡

イベントログ「セキュリティ」にイベントID:5156でトンネルホスト・トンネル先ホストとそれぞれ通信したことが記録されている

- 実行時に記録される主要な情報

- 接続元

イベントログ

#	ログ	イベントID	タスクのカテゴリ	イベント内容
1	Microsoft-Windows-Sysmon/Operational	1	Process Create (rule: ProcessCreate)	Process Create. UtcTime: プロセス実行日時 (UTC) ProcessGuid/ProcessId: プロセスID Image: 実行ファイルのパス (検体のパス) CommandLine: 実行コマンドのコマンドライン ([検体の実行ファイル名] -tran [トンネル元ポート] [接続先IPアドレス] [トンネル先ポート]) User: 実行ユーザー
2	Microsoft-Windows-Sysmon/Operational	3	Network connection detected (rule: NetworkConnect)	Network connection detected. ProcessGuid/ProcessId: プロセスID Image: 実行ファイルのパス (検体のパス) User: 実行ユーザー Protocol: プロトコル (tcp) SourceIp: 送信元IPアドレス (接続元IPアドレス) SourceHostname: 送信元ホスト名 (接続元ホスト名) SourcePort: 送信元ポート番号 (トンネル元ポート) DestinationIp: 宛先IPアドレス (攻撃者IPアドレス) DestinationHostname: 宛先ホスト名 (攻撃者ホスト名) DestinationPort: 宛先ポート番号 (ハイポート)

- 接続先

イベントログ

#	ログ	イベントID	タスクのカテゴリ	イベント内容
1	Microsoft-Windows-Sysmon/Operational	3	Network connection detected (rule: NetworkConnect)	Network connection detected. これ以降の動作は、トンネル経由で実行されたツールに依存する。 ProcessGuid/ProcessId: プロセスID Image: 実行ファイルのパス (C:\Windows\System32\svchost.exe) User: 実行ユーザー (NT AUTHORITY\NETWORK SERVICE) Protocol: プロトコル (tcp) SourceIp: 送信元IPアドレス (接続先IPアドレス) SourceHostname: 送信元ホスト名 (接続先ホスト名) SourcePort: 送信元ポート番号 (トンネル先ポート) DestinationIp: 宛先IPアドレス (接続元IPアドレス) DestinationHostname: 宛先ホスト名 (接続元ホスト名) DestinationPort: 宛先ポート番号 (ハイポート)

- 詳細：接続元

- イベントログ

#	イベントログ	イベントID	タスクのカテゴリ	イベント内容
1	Microsoft-Windows-Sysmon/Operational	1	Process Create (rule: ProcessCreate)	Process Create. UtcTime: プロセス実行日時 (UTC) ProcessGuid/ProcessId: プロセスID Image: 実行ファイルのパス (検体のパス) CommandLine: 実行コマンドのコマンドライン ([検体の実行ファイル名] -tran [トンネル元ポート] [接続先IPアドレス] [トンネル先ポート]) CurrentDirectory: 作業ディレクトリ (検体のパス) User: 実行ユーザー LogonGuid/LogonId: ログオンセッションのID IntegrityLevel: 特権レベル (High) Hashes: 実行ファイルのハッシュ値 ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID ParentImage: 親プロセスの実行ファイル ParentCommandLine: 親プロセスのコマンドライン
1	セキュリティ	4688	プロセス作成	新しいプロセスが作成されました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメインサブジェクト > ログオンID: プロセスを実行したユーザーのセッションID プロセス情報 > 新しいプロセスID: プロセスID (16進数) プロセス情報 > 新しいプロセス名: 実行ファイルのパス (検体のパス) プロセス情報 > トークン昇格の種類: 権限昇格の有無 (2) プロセス情報 > 必須ラベル: 権限昇格の要否 (Mandatory Label\High Mandatory Level) プロセス情報 > 作成元プロセスID: 新プロセスを作成した親プロセスのプロセスID。Windows 7では「クリエイタープロセスID」プロセス情報 > 作成元プロセス名: 新プロセスを作成した親プロセスのパスログの日時: プロセス実行日時 (ローカル時刻)
2	Microsoft-Windows-Sysmon/Operational	11	File created (rule: FileCreate)	File created. ProcessGuid/ProcessId: プロセスID Image: 実行ファイルのパス (C:\Windows\System32\svchost.exe) TargetFilename: 作成されたファイル (C:\Windows\Prefetch\[検体の実行ファイル名]-[文字列].pf) CreationUtcTime: ファイル作成日時 (UTC)
	セキュリティ	4656	ファイルシステム / その他のオブジェクトアクセスイベント	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティID: 実行したユーザーSID (SYSTEM) サブジェクト > アカウント名: 実行したアカウント名サブジェクト > アカウントドメイン: 実行したアカウントの所属ドメインサブジェクト > ログオンID: プロセスを実行したユーザーのセッションID オブジェクト > オブジェクトの種類: ファイルの種類 (File) オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\[検体の実行ファイル名]-[文字列].pf) オブジェクト > ハンドルID: 当該ハンドルの識別ID プロセス情報 > プロセスID: プロセスID (16進数) プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe) アクセス要求情報 > アクセス/アクセス理由/アクセスマスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
	セキュリティ	4663	ファイルシステム	オブジェクトへのアクセスが試行されました。サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID (SYSTEM) オブジェクト > オブジェクトの種類: 対象の区分 (File) オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\[検体の実行ファイル名]-[文字列].pf) オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル) プロセス情報 > プロセスID: プロセスID (16進数) プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe) アクセス要求情報 > アクセス: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む) アクセス要求情報 > アクセス/アクセス理由/アクセスマスク: 要求された権限成功の監査: 成否 (アクセス成功)
	セキュリティ	4658	ファイルシステム	オブジェクトに対するハンドルが閉じました。サブジェクト > セキュリティID: 実行したユーザーSID (SYSTEM) サブジェクト > アカウント名: 実行したアカウント名サブジェクト > アカウントドメイン: 実行したアカウントの所属ドメインサブジェクト > ログオンID: プロセスを実行したユーザーのセッションID オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル) プロセス情報 > プロセスID: プロセスID (16進数) プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\svchost.exe)
3	Microsoft-Windows-Sysmon/Operational	12	Registry object added or deleted (rule: RegistryEvent)	Registry object added or deleted. EventType: 処理の種類 (CreateKey) Image: 実行ファイルのパス (検体のパス) ProcessGuid/ProcessId: プロセスID TargetObject: 作成・削除されたレジストリキー・値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters)
4	Microsoft-Windows-Sysmon/Operational	3	Network connection detected (rule: NetworkConnect)	Network connection detected. ProcessGuid/ProcessId: プロセスID Image: 実行ファイルのパス (検体のパス) User: 実行ユーザー Protocol: プロトコル (tcp) SourceIp: 送信元IPアドレス (接続元IPアドレス) SourceHostname: 送信元ホスト名 (接続元ホスト名) SourcePort: 送信元ポート番号 (トンネル元ポート) DestinationIp: 宛先IPアドレス (攻撃者IPアドレス) DestinationHostname: 宛先ホスト名 (攻撃者ホスト名) DestinationPort: 宛先ポート番号 (ハイポート)
4	セキュリティ	5156	フィルタリングプラットフォームの接続	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > アプリケーション名: 実行プロセス (検体のパス) ネットワーク情報 > 方向: 通信方向 (送信) ネットワーク情報 > 送信元アドレス/ソースポート: 送信元IPアドレス/ポート番号ネットワーク情報 > 宛先アドレス: 宛先IPアドレスネットワーク情報 > 宛先ポート: 宛先ポート番号 (トンネル元ポート) ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
5	Microsoft-Windows-Sysmon/Operational	3	Network connection detected (rule: NetworkConnect)	Network connection detected. ProcessGuid/ProcessId: プロセスID Image: 実行ファイルのパス (検体のパス) User: 実行ユーザー Protocol: プロトコル (tcp) SourceIp: 送信元IPアドレス (接続元IPアドレス) SourceHostname: 送信元ホスト名 (接続元ホスト名) SourcePort: 送信元ポート番号 (ハイポート) DestinationIp: 宛先IPアドレス (接続先IPアドレス) DestinationHostname: 宛先ホスト名 (接続先ホスト名) DestinationPort: 宛先ポート番号 (トンネル先ポート)
5	セキュリティ	5156	フィルタリングプラットフォームの接続	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > アプリケーション名: 実行プロセス (検体のパス) ネットワーク情報 > 方向: 通信方向 (送信) ネットワーク情報 > 送信元アドレス/ソースポート: 送信元IPアドレス/ポート番号ネットワーク情報 > 宛先アドレス: 宛先IPアドレスネットワーク情報 > 宛先ポート: 宛先ポート番号 (トンネル先ポート) ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
6	Microsoft-Windows-Sysmon/Operational	5	Process terminated (rule: ProcessTerminate)	Process terminated. UtcTime: プロセス終了日時 (UTC) ProcessGuid/ProcessId: プロセスID Image: 実行ファイルのパス (検体のパス)
6	セキュリティ	4689	プロセス終了	プロセスが終了しました。ログの日時: プロセス終了日時 (ローカル時刻) サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメインサブジェクト > ログオンID: プロセスを実行したユーザーのセッションID プロセス情報 > プロセスID: プロセスID (16進数) プロセス情報 > プロセス名: 実行ファイルのパス (検体のパス) プロセス情報 > 終了状態: プロセスの戻り値 (0x0)

- MFT

#	パス	ヘッダフラグ	有効
1	[ドライブ名]:\Windows\Prefetch\[検体の実行ファイル名]-[文字列].pf	FILE	ALLOCATED

- Prefetch

#	Prefetchファイル	プロセス名	プロセスパス	ログから得られる情報
1	C:\Windows\Prefetch\[検体の実行ファイル名]-[文字列].pf			Last Run Time (最終実行日時)

- USNジャーナル

#	ファイル名	処理	属性
1	[検体の実行ファイル名]-[文字列].pf	FILE_CREATE	archive+not_indexed
	[検体の実行ファイル名]-[文字列].pf	DATA_EXTEND+FILE_CREATE	archive+not_indexed
	[検体の実行ファイル名]-[文字列].pf	CLOSE+DATA_EXTEND+FILE_CREATE	archive+not_indexed

- 詳細：接続先

- イベントログ

#	イベントログ	イベントID	タスクのカテゴリ	イベント内容
1	Microsoft-Windows-Sysmon/Operational	3	Network connection detected (rule: NetworkConnect)	Network connection detected. ProcessGuid/ProcessId: プロセスID Image: 実行ファイルのパス (C:\Windows\System32\svchost.exe) User: 実行ユーザー (NT AUTHORITY\NETWORK SERVICE) Protocol: プロトコル (tcp) SourceIp: 送信元IPアドレス (接続先IPアドレス) SourceHostname: 送信元ホスト名 (接続先ホスト名) SourcePort: 送信元ポート番号 (トンネル先ポート) DestinationIp: 宛先IPアドレス (接続元IPアドレス) DestinationHostname: 宛先ホスト名 (接続元ホスト名) DestinationPort: 宛先ポート番号 (ハイポート)
1	セキュリティ	5156	フィルタリングプラットフォームの接続	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセスID: プロセスID アプリケーション情報 > アプリケーション名: 実行プロセスネットワーク情報 > 方向: 通信方向ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続先ホスト) ネットワーク情報 > ソースポート: 送信元ポート番号 (トンネル先ポート) ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続元ホスト) ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート) ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
2	セキュリティ	4776	資格情報の確認	コンピューターがアカウントの資格情報の確認を試行しました。認証パッケージ: 認証に使用されたパッケージ (MICROSOFT_AUTHENTICATION_PACKAGE_V1_0) ログオンアカウント: 使用されたアカウントソースワークステーション: アカウントの確認を要求したホスト (攻撃者ホスト名) エラーコード: 実行結果 (0x0)
3	Microsoft-Windows-Sysmon/Operational	3	Network connection detected (rule: NetworkConnect)	Network connection detected. ProcessGuid/ProcessId: プロセスID Image: 実行ファイルのパス (C:\Windows\System32\svchost.exe) User: 実行ユーザー (NT AUTHORITY\NETWORK SERVICE) Protocol: プロトコル (tcp) SourceIp: 送信元IPアドレス (接続先IPアドレス) SourceHostname: 送信元ホスト名 (接続先ホスト名) SourcePort: 送信元ポート番号 (トンネル先ポート) DestinationIp: 宛先IPアドレス (接続元IPアドレス) DestinationHostname: 宛先ホスト名 (接続元ホスト名) DestinationPort: 宛先ポート番号 (ハイポート)
3	セキュリティ	5156	フィルタリングプラットフォームの接続	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセスID: プロセスID アプリケーション情報 > アプリケーション名: 実行プロセスネットワーク情報 > 方向: 通信方向ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続先ホスト) ネットワーク情報 > ソースポート: 送信元ポート番号 (トンネル先ポート) ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続元ホスト) ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート) ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
4	セキュリティ	4648	ログオン	明示的な資格情報を使用してログオンが試行された。サブジェクト > セキュリティID: 実行したユーザーSID サブジェクト > アカウント名: 実行したアカウント名サブジェクト > アカウントドメイン: 実行したアカウントの所属ドメインサブジェクト > ログオンID/ログオンGUID: 認証を実行したユーザーのセッションID 資格情報が使用されたアカウント > アカウント名: 指定されたアカウント名資格情報が使用されたアカウント > アカウントドメイン: 指定されたアカウントの所属ドメインターゲットサーバー > ターゲットサーバー名: ログオン先ホスト名 (localhost) ターゲットサーバー > 追加情報: ログオン先ホストの追加情報 (localhost) プロセス情報 > プロセスID: ログオンを試行したプロセスID プロセス情報 > プロセス名: ログオンを試行したプロセス名 (C:\Windows\System32\winlogon.exe) ネットワーク情報 > ネットワークアドレス: ログオン元ホスト (接続元ホスト) ネットワーク情報 > ポート: 接続元ポート (ハイポート)
	セキュリティ	4624	ログオン	アカウントが正常にログオンしました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメインサブジェクト > ログオンID: 認証を実行したユーザーのセッションID ログオンの種類: ログオンの経路・方式など新しいログオン > セキュリティID/アカウント名/アカウントドメイン: ログオンされたユーザーSID/アカウント名/ドメイン新しいログオン > ログオンID/ログオンGUID: ログオンされたユーザーのセッションID プロセス情報 > プロセスID: プロセスID (16進数) プロセス情報 > プロセス名: 実行ファイルのパスネットワーク情報 > ワークステーション名: ログオンを要求したホスト名 (接続先ホスト) ネットワーク情報 > ソースネットワークアドレス: ログオンを要求したIPアドレス (接続元ホスト) ネットワーク情報 > ソースポート: 接続元ポート番号 (ハイポート)
	セキュリティ	4672	特殊なログオン	新しいログオンに特権が割り当てられました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメインサブジェクト > ログオンID: プロセスを実行したユーザーのセッションID 特権: 割り当てられた特権 (SeSecurityPrivilege, SeTakeOwnershipPrivilege, SeLoadDriverPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeDebugPrivilege, SeSystemEnvironmentPrivilege, SeImpersonatePrivilege)
5	Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational	1149	TerminalServices-RemoteConnectionManager	リモートデスクトップサービス: ユーザー認証に成功しましたユーザー: セッションを使用していたユーザードメイン: ユーザーのドメイン (接続先ホスト名) ソースネットワークアドレス: セッションの接続元アドレス (接続元ホスト)
	Microsoft-Windows-TerminalServices-LocalSessionManager/Operational	24	TerminalServices-LocalSessionManager	リモートデスクトップサービス: セッションは切断されましたユーザー: セッションを使用していたユーザーセッションID: セッションのID (番号) ソースネットワークアドレス: セッションの接続元アドレス (ローカル)
	Microsoft-Windows-TerminalServices-LocalSessionManager/Operational	25	TerminalServices-LocalSessionManager	リモートデスクトップサービス: セッションの再接続に成功しましたユーザー: セッションを使用していたユーザーセッションID: セッションのID (番号) ソースネットワークアドレス: セッションの接続元アドレス (接続元ホスト)
	Microsoft-Windows-TerminalServices-LocalSessionManager/Operational	24	TerminalServices-LocalSessionManager	リモートデスクトップサービス: セッションは切断されましたユーザー: セッションを使用していたユーザーセッションID: セッションのID (番号) ソースネットワークアドレス: セッションの接続元アドレス (接続元ホスト)
	Microsoft-Windows-TerminalServices-LocalSessionManager/Operational	25	TerminalServices-LocalSessionManager	リモートデスクトップサービス: セッションの再接続に成功しましたユーザー: セッションを使用していたユーザーセッションID: セッションのID (番号) ソースネットワークアドレス: セッションの接続元アドレス (ローカル)

- 備考

本資料ではトンネルに使用されるホストを「接続元」、トンネル先のホストを「接続先」とする。また、トンネルを使用する攻撃者を「攻撃者」とする。
本検体にはWebプロキシ対応版も存在するが、本資料はWebプロキシ非対応版のものを使用している
パケットキャプチャでは、トンネルに使用されたポート番号を用いた通信が発生していることは確認可能であるが、それがHTranの通信であることはパケットキャプチャのみでは判断出来ない