Htran

- 目次

ツール概要
ツール動作概要
ログから得られる情報
実行成功時に確認できる痕跡
実行時に記録される主要な情報
詳細情報: 接続元
詳細情報: 接続先
備考

全てのセクションを開く | 全てのセクションを閉じる

- ツール概要

カテゴリ: 通信の不正中継
説明: 通信をトンネリングさせる。
攻撃時における想定利用例: ファイアウォールなどで許可されているポートを経由して、許可されていないポートの通信を通過させる。

- ツール動作概要

- 概要

項目	接続元	接続先
通信プロトコル	任意のTCPポート	任意のTCPポート
権限	User	User
ドメインへの所属	不要	不要
サービス	-	-
OS	Windows	Windows
備考	-	-

- 動作確認環境

環境	動作可否
Windows 7 + Windows Server 2012	動作する
Windows 10 + Windows Server 2012	動作する
Windows 11 + Windows Server 2025	動作する

- ログから得られる情報

標準設定

接続元
- Prefetch: 実行履歴
接続先
- Prefetch: 実行履歴

追加設定

接続元
- 監査ポリシー: 実行履歴、中継ホスト(攻撃者)・中継先ホスト(接続先)とのネットワーク通信
接続先
- 監査ポリシー・Sysmon: 実行履歴、ネットワーク通信履歴

- 実行成功時に確認できる痕跡

接続元
- 「セキュリティ」ログのイベント5156において、中継ホスト・中継先ホストとそれぞれ通信している
接続先
- 「セキュリティ」ログのイベント5156において、想定していないホストからの通信が着信している

- 実行時に記録される主要な情報

- 接続元

イベントログ

#	ログ	イベントID	タスクのカテゴリ	イベント内容
1	Security	4688	Process Creation	新しいプロセスが作成されました。作成元サブジェクト > セキュリティ ID: [実行ユーザーSID] 作成元サブジェクト > アカウント名: [実行ユーザー名] 作成元サブジェクト > アカウントドメイン: [ドメイン名] 作成元サブジェクト > ログオン ID: [ログオンID] プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID] プロセス情報 > 新しいプロセス名: [実行ファイルのパス] プロセス情報 > プロセスのコマンドライン: [実行ファイル名] -tran [中継ホストの待受ポート番号] [中継先IPアドレス] [中継先ポート番号] プロセス情報 > 作成元プロセス ID: [親プロセスID]
2	Security	5156	Filtering Platform Connection	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセス ID: [実行プロセスID] アプリケーション情報 > アプリケーション名: [実行ファイルのパス] ネットワーク情報 > 方向: 着信ネットワーク情報 > 送信元アドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [接続元ポート番号] ネットワーク情報 > 宛先アドレス: [中継ホストIPアドレス] ネットワーク情報 > 宛先ポート: [中継ホストの待受ポート番号] ネットワーク情報 > プロトコル: 6 (TCP)
3	Security	5156	Filtering Platform Connection	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセス ID: [実行プロセスID] アプリケーション情報 > アプリケーション名: [実行ファイルのパス] ネットワーク情報 > 方向: 送信ネットワーク情報 > 送信元アドレス: [中継ホストIPアドレス] ネットワーク情報 > ソースポート: [中継ホストの接続元ポート番号] ネットワーク情報 > 宛先アドレス: [中継先IPアドレス] ネットワーク情報 > 宛先ポート: [中継先ポート番号] ネットワーク情報 > プロトコル: 6 (TCP)

Prefetch

#	Prefetchファイル	プロセス名	プロセスパス	備考
1	[実行ファイル名]-[ハッシュ値].pf	[実行ファイル名]	\VOLUME{[ボリュームGUID]}\WINDOWS\SYSTEM32\[実行ファイル名]

MFT

#	パス	ヘッダフラグ	備考
1	C:\Windows\Prefetch\[実行ファイル名]-[ハッシュ値].pf	FILE	InUse

USNジャーナル

#	ファイル名	処理	備考
1	[実行ファイル名]-[ハッシュ値].pf	DataExtend+FileCreate+Close

- 接続先

イベントログ

#	ログ	イベントID	タスクのカテゴリ	イベント内容
1	Security	5156	Filtering Platform Connection	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセス ID: 4 アプリケーション情報 > アプリケーション名: System ネットワーク情報 > 方向: 着信ネットワーク情報 > 送信元アドレス: [中継ホストIPアドレス] ネットワーク情報 > ソースポート: [中継ホストの接続元ポート番号] ネットワーク情報 > 宛先アドレス: [中継先IPアドレス] ネットワーク情報 > 宛先ポート: [中継先ポート番号] ネットワーク情報 > プロトコル: 6 (TCP)
2	Microsoft-Windows-Sysmon/Operational	3	Network connection detected	Network connection detected UtcTime: [発生日時(UTC)] ProcessId: 4 Image: System User: [ドメイン名]\[ユーザー名] Protocol: tcp Initiated: False SourceIp: [中継ホストIPアドレス] SourceHostname: [中継ホスト名] SourcePort: [中継ホストの接続元ポート番号] DestinationIp: [中継先IPアドレス] DestinationHostname: [中継先ホスト名] DestinationPort: [中継先ポート番号]

- 詳細情報

- 接続元

イベントログ

#	ログ	イベントID	タスクのカテゴリ	イベント内容
1	Security	4688	Process Creation	新しいプロセスが作成されました。作成元サブジェクト > セキュリティ ID: [実行ユーザーSID] 作成元サブジェクト > アカウント名: [実行ユーザー名] 作成元サブジェクト > アカウントドメイン: [ドメイン名] 作成元サブジェクト > ログオン ID: [ログオンID] プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID] プロセス情報 > 新しいプロセス名: [実行ファイルのパス] プロセス情報 > プロセスのコマンドライン: [実行ファイル名] -tran [中継ホストの待受ポート番号] [中継先IPアドレス] [中継先ポート番号] プロセス情報 > 作成元プロセス ID: [親プロセスID]
2	Microsoft-Windows-Sysmon/Operational	1	Process Create	Process Create UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: [実行ファイルのパス] FileVersion・Description・Product・Company・OriginalFileName: [実行ファイルのメタデータ] CommandLine: [実行ファイル名] -tran [中継に使用するポート番号] [中継IPアドレス] [中継ポート番号] CurrentDirectory: [作業ディレクトリ] User: [ドメイン名]\[ユーザー名] LogonId: [ログオンID] Hashes: [実行ファイルのハッシュ値] ParentProcessId: [親プロセスID] ParentUser: [親プロセスの実行ユーザ]
3	Microsoft-Windows-Sysmon/Operational	7	Image loaded	Image loaded. UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: [実行ファイルのパス] ImageLoaded: [読み取ったDLLファイルなど] FileVersion・Description・Product・Company・OriginalFileName: [DLLファイルなどのメタデータ] User: [ドメイン名]\[ユーザー名]
4	Security	4673	Sensitive Privilege Use	特権のあるサービスが呼び出されました。サブジェクト > セキュリティ ID: [実行ユーザーSID] サブジェクト > アカウント名: [実行ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] サービス > サーバー: Security サービス要求情報 > 特権: SeProfileSingleProcessPrivilege プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
5	Security	4656	File System	オブジェクトに対するハンドルが要求されました。オブジェクト > オブジェクト名: C:\Windows\Prefetch\[実行ファイル名]-[ハッシュ値].pf オブジェクト > ハンドル ID: [ハンドルID] アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, ReadData (または ListDirectory), WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), ReadEA, WriteEA, ReadAttributes, WriteAttributes プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
6	Security	4663	File System	オブジェクトへのアクセスが試行されました。オブジェクト > オブジェクト名: C:\Windows\Prefetch\[実行ファイル名]-[ハッシュ値].pf オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] アクセス要求情報 > アクセス: WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance) プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
7	Security	4658	File System	オブジェクトに対するハンドルが閉じました。オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
8	Microsoft-Windows-Sysmon/Operational	11	File created	File created UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\WINDOWS\system32\svchost.exe TargetFilename: C:\Windows\Prefetch\[実行ファイル名]-[ハッシュ値].pf CreationUtcTime: [ファイル作成日時(UTC)]
9	Microsoft-Windows-Sysmon/Operational	12	Registry object added or deleted	Registry object added or deleted EventType: CreateKey UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: [実行ファイルのパス] TargetObject: HKLM\System\CurrentControlSet\Services\Tcpip\Parameters User: [ドメイン名]\[ユーザー名]
10	Security	5156	Filtering Platform Connection	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセス ID: [実行プロセスID] アプリケーション情報 > アプリケーション名: [実行ファイルのパス] ネットワーク情報 > 方向: 着信ネットワーク情報 > 送信元アドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [接続元ポート番号] ネットワーク情報 > 宛先アドレス: [中継ホストIPアドレス] ネットワーク情報 > 宛先ポート: [中継ホストの待受ポート番号] ネットワーク情報 > プロトコル: 6 (TCP)
11	Microsoft-Windows-Sysmon/Operational	3	Network connection detected	Network connection detected UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: [実行ファイルのパス] User: [ドメイン名]\[ユーザー名] Protocol: tcp Initiated: False SourceIp: [接続元IPアドレス] SourceHostname: [接続元ホスト名] SourcePort: [接続元ポート番号] DestinationIp: [中継ホストIPアドレス] DestinationHostname: [中継ホスト名] DestinationPort: [中継ホストの待受ポート番号]
12	Security	5156	Filtering Platform Connection	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセス ID: [実行プロセスID] アプリケーション情報 > アプリケーション名: [実行ファイルのパス] ネットワーク情報 > 方向: 送信ネットワーク情報 > 送信元アドレス: [中継ホストIPアドレス] ネットワーク情報 > ソースポート: [中継ホストの接続元ポート番号] ネットワーク情報 > 宛先アドレス: [中継先IPアドレス] ネットワーク情報 > 宛先ポート: [中継先ポート番号] ネットワーク情報 > プロトコル: 6 (TCP)
13	Microsoft-Windows-Sysmon/Operational	3	Network connection detected	Network connection detected UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: [実行ファイルのパス] User: [ドメイン名]\[ユーザー名] Protocol: tcp Initiated: True SourceIp: [中継ホストIPアドレス] SourceHostname: [中継ホスト名] SourcePort: [中継ホストの接続元ポート番号] DestinationIp: [中継先IPアドレス] DestinationHostname: [中継先ホスト名] DestinationPort: [中継先ポート番号]

Prefetch

#	Prefetchファイル	プロセス名	プロセスパス	備考
1	[実行ファイル名]-[ハッシュ値].pf	[実行ファイル名]	\VOLUME{[ボリュームGUID]}\WINDOWS\SYSTEM32\[実行ファイル名]

MFT

#	パス	ヘッダフラグ	備考
1	C:\Windows\Prefetch\[実行ファイル名]-[ハッシュ値].pf	FILE	InUse

USNジャーナル

#	ファイル名	処理	備考
1	[実行ファイル名]-[ハッシュ値].pf	DataExtend+FileCreate+Close

- 接続先

イベントログ

#	ログ	イベントID	タスクのカテゴリ	イベント内容
1	Security	5156	Filtering Platform Connection	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセス ID: 4 アプリケーション情報 > アプリケーション名: System ネットワーク情報 > 方向: 着信ネットワーク情報 > 送信元アドレス: [中継ホストIPアドレス] ネットワーク情報 > ソースポート: [中継ホストの接続元ポート番号] ネットワーク情報 > 宛先アドレス: [中継先IPアドレス] ネットワーク情報 > 宛先ポート: [中継先ポート番号] ネットワーク情報 > プロトコル: 6 (TCP)
2	Microsoft-Windows-Sysmon/Operational	3	Network connection detected	Network connection detected UtcTime: [発生日時(UTC)] ProcessId: 4 Image: System User: [ドメイン名]\[ユーザー名] Protocol: tcp Initiated: False SourceIp: [中継ホストIPアドレス] SourceHostname: [中継ホスト名] SourcePort: [中継ホストの接続元ポート番号] DestinationIp: [中継先IPアドレス] DestinationHostname: [中継先ホスト名] DestinationPort: [中継先ポート番号]

- 備考

本調査では「中継ホスト」を「接続元」、「中継先」を「接続先」として記載している。中継ホストを利用するホストにおいては、本ツール特有の記録は生じない
ログの内容は使用されたアプリケーションにより異なる