MS14-058 Exploit

- 目次

ツール概要
ツール動作概要
ログから得られる情報
実行成功時に確認できる痕跡
実行時に記録される主要な情報
詳細情報: 接続元

全てのセクションを開く | 全てのセクションを閉じる

- ツール概要

カテゴリ: 権限昇格
説明: 指定した実行ファイルを、SYSTEM権限で実行する。
攻撃時における想定利用例: 管理者権限が必要な実行ファイルを、標準ユーザーで実行する。

- ツール動作概要

- 概要

項目	接続元
通信プロトコル	-
権限	User
ドメインへの所属	不要
サービス	-
OS	Windows 7
備考	-

- 動作確認環境

環境	動作可否
Windows 7 + Windows Server 2012	動作する
Windows 10 + Windows Server 2012	動作する
Windows 11 + Windows Server 2025	動作しない

- ログから得られる情報

標準設定

接続元
- Prefetch: 実行履歴

追加設定

接続元
- 監査ポリシー・Sysmon: 実行履歴

- 実行成功時に確認できる痕跡

接続元
- イベントログ「セキュリティ」のイベントID: 4688および、イベントログ「Sysmon」のイベントID: 1においてSYSTEM権限で実行されているプロセスの、親プロセスがそのプロセスの親となり得ないものとなっている

- 実行時に記録される主要な情報

- 接続元

イベントログ

#	ログ	イベントID	タスクのカテゴリ	イベント内容
1	Microsoft-Windows-Sysmon/Operational	1	Process Create	Process Create UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: [実行ファイルのパス] CommandLine: [実行ファイルのパス] [権限を昇格して実行する実行ファイル] User: [実行ユーザー]
2	Microsoft-Windows-Sysmon/Operational	1	Process Create	Process Create UtcTime: [発生日時(UTC)] ProcessId: [プロセスID] Image: [権限を昇格して実行する実行ファイルのパス] CommandLine: [権限を昇格して実行する実行コマンドのコマンドライン] User: NY AUTHORITY\SYSTEM Hashes: [権限を昇格して実行する実行ファイルのハッシュ値] ParentProcessId: [実行プロセスID] ParentImage: [実行ファイルのパス] ParentCommandLine: [実行ファイルのパス] [権限を昇格して実行する実行ファイル]
3	Security	4689	Process Termination	プロセスが終了しました。サブジェクト > セキュリティ ID: SYSTEM サブジェクト > アカウント名: [ホスト名]$ プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]

Prefetch

#	Prefetchファイル	プロセス名	プロセスパス	備考
1	[実行ファイル名]-[ハッシュ値].pf	[実行ファイル名]	[実行ファイルのパス]

MFT

#	パス	ヘッダフラグ	備考
1	[ドライブ名]:\Windows\Prefetch\[実行ファイル名]-[ハッシュ値].pf	FILE	ALLOCATED

USNジャーナル

#	ファイル名	処理	備考
1	[実行ファイル名]-[ハッシュ値].pf	CLOSE+DATA_EXTEND+FILE_CREATE	archive+not_indexed

- 詳細情報

- 接続元

イベントログ

#	ログ	イベントID	タスクのカテゴリ	イベント内容
1	Microsoft-Windows-Sysmon/Operational	1	Process Create	Process Create UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: [実行ファイルのパス] CommandLine: [実行ファイルのパス] [権限を昇格して実行する実行ファイル] User: [実行ユーザー] LogonId: [ログオンセッションのID] IntegrityLevel: Medium Hashes: [実行ファイルのハッシュ値] ParentProcessId: [親プロセスID] ParentImage: [親実行ファイルのパス] ParentCommandLine: [親プロセスのコマンドライン]
2	Security	4688	プロセス作成	新しいプロセスが作成されました。作成元サブジェクト > セキュリティ ID: [ユーザーSID] 作成元サブジェクト > アカウント名: [ユーザー名] 作成元サブジェクト > アカウントドメイン: [ドメイン名] 作成元サブジェクト > ログオン ID: [プロセスを実行したユーザーのセッションID] プロセス情報 > 新しいプロセス ID: [実行プロセスID] プロセス情報 > 新しいプロセス名: [実行ファイルのパス] プロセス情報 > トークン昇格の種類: TokenElevationTypeDefault(1) プロセス情報 > 作成元プロセス ID: [新プロセスを作成した親プロセスのプロセスID]
3	Microsoft-Windows-Sysmon/Operational	1	Process Create	Process Create UtcTime: [発生日時(UTC)] ProcessId: [プロセスID] Image: [権限を昇格して実行する実行ファイルのパス] CommandLine: [権限を昇格して実行する実行コマンドのコマンドライン] CurrentDirectory: [実行ファイルのパス] User: NY AUTHORITY\SYSTEM LogonId: [ログオンセッションのID] IntegrityLevel: System Hashes: [権限を昇格して実行する実行ファイルのハッシュ値] ParentProcessId: [実行プロセスID] ParentImage: [実行ファイルのパス] ParentCommandLine: [実行ファイルのパス] [権限を昇格して実行する実行ファイル]
4	Security	4688	プロセス作成	新しいプロセスが作成されました。作成元サブジェクト > セキュリティ ID: SYSTEM 作成元サブジェクト > アカウント名: [ホスト名]$ 作成元サブジェクト > アカウントドメイン: [ドメイン名] 作成元サブジェクト > ログオン ID: [プロセスを実行したユーザーのセッションID] プロセス情報 > 新しいプロセス ID: [プロセスID] プロセス情報 > 新しいプロセス名: [権限を昇格して実行する実行ファイルのパス] プロセス情報 > トークン昇格の種類: TokenElevationTypeDefault(1) プロセス情報 > 作成元プロセス ID: [実行プロセスID]
5	Microsoft-Windows-Sysmon/Operational	10	Process accessed	Process accessed. UtcTime: [発生日時(UTC)] SourceProcessId: [アクセス元プロセスID] SourceThreadId: [アクセス元スレッドID] SourceImage: [実行ファイルのパス] TargetProcessId: [アクセス先プロセスID] TargetImage: [アクセス先プロセスのパス] GrantedAccess: 0x1FFFFF
6	Microsoft-Windows-Sysmon/Operational	11	File created	File created ProcessId: [実行プロセスID] Image: C:\WINDOWS\system32\svchost.exe TargetFilename: C:\Windows\Prefetch\[実行ファイル名]-[ハッシュ値].pf CreationUtcTime: [ファイル作成日時(UTC)]
7	Security	4656	ファイルシステム	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [プロセスを実行したユーザーのセッションID] オブジェクト > オブジェクト名: C:\Windows\Prefetch\[実行ファイル名]-[ハッシュ値].pf オブジェクト > ハンドル ID: [ハンドルID] プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
8	Security	4663	ファイルシステム	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [プロセスを実行したユーザーのセッションID] オブジェクト > オブジェクト名: C:\Windows\Prefetch\[実行ファイル名]-[ハッシュ値].pf オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
9	Microsoft-Windows-Sysmon/Operational	5	Process terminated	Process terminated. UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: [実行ファイルのパス]
10	Security	4689	プロセス終了	プロセスが終了しました。サブジェクト > セキュリティ ID: SYSTEM サブジェクト > アカウント名: [ホスト名]$ サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [プロセスを実行したユーザーのセッションID] プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]

Prefetch

#	Prefetchファイル	プロセス名	プロセスパス	備考
1	[実行ファイル名]-[ハッシュ値].pf	[実行ファイル名]	[実行ファイルのパス]

MFT

#	パス	ヘッダフラグ	備考
1	[ドライブ名]:\Windows\Prefetch\[実行ファイル名]-[ハッシュ値].pf	FILE	ALLOCATED

USNジャーナル

#	ファイル名	処理	備考
1	[実行ファイル名]-[ハッシュ値].pf	FILE_CREATE	archive+not_indexed
2	[実行ファイル名]-[ハッシュ値].pf	DATA_EXTEND+FILE_CREATE	archive+not_indexed
3	[実行ファイル名]-[ハッシュ値].pf	CLOSE+DATA_EXTEND+FILE_CREATE	archive+not_indexed