MS14-068 Exploit

- 目次

全てのセクションを開く | 全てのセクションを閉じる

- ツール概要

カテゴリ
ドメイン管理者権限、アカウントの奪取
説明
ドメインユーザーの権限を、ドメイン管理者権限に変更する。
攻撃時における想定利用例
入手したドメインユーザのアカウントを用いて、管理者になりすまし不正な操作をおこなう。

- ツール動作概要

項目 接続元 ドメインコントローラー
権限 標準ユーザー
ドメインへの所属
OS Windows Windows Server
通信プロトコル 88/tcp, 445/tcp
サービス Workstation Active Directory Domain Service

- ログから得られる情報

標準設定
  • 接続元
    • 実行履歴 (Prefetch)
追加設定
  • 接続元
    • 実行履歴 (監査ポリシー, Sysmon)
  • ドメインコントローラー
    • 標準ユーザーに特権が付与されたことが記録される。または、その要求に失敗していることが記録される (監査ポリシー)

- 実行成功時に確認できる痕跡

- 実行時に記録される主要な情報

- 接続元

イベントログ

# ログ イベントID タスクのカテゴリ イベント内容
1 Microsoft-Windows-Sysmon/Operational 1 Process Create (rule: ProcessCreate) Process Create.
  • UtcTime: プロセス実行日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (検体のパス)
  • CommandLine: 実行コマンドのコマンドライン ([検体のパス] -u [ユーザー名] -s [ユーザーSID] -d [ドメイン])
  • User: 実行ユーザー
2 セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • オブジェクト > オブジェクト名: 対象のファイル名 ([作業ディレクトリ]\TGT_[ユーザー名]@[ドメイン].ccache)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (検体のパス)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
3 Microsoft-Windows-Sysmon/Operational 1 Process Create (rule: ProcessCreate) Process Create.
  • UtcTime: プロセス実行日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (mimikatzの検体のパス)
  • CommandLine: 実行コマンドのコマンドライン ([mimikatzの検体のパス] "kerberos::ptc TGT_[ユーザー名]@[ドメイン].ccache" exit)
  • User: 実行ユーザー

MFT

# パス ヘッダフラグ 有効
1 [作業ディレクトリ]\TGT_[ユーザー名]@[ドメイン名].ccache FILE ALLOCATED

USNジャーナル

# ファイル名 処理
1 TGT_[ユーザー名]@[ドメイン名].ccache CLOSE+DATA_EXTEND+FILE_CREATE

- ドメインコントローラー

イベントログ

# ログ イベントID タスクのカテゴリ イベント内容
1 セキュリティ 4769 Kerberos サービス チケットの操作 Kerberos サービス チケットが要求されました。 (SIDが無効なチケットによる、Kerberosサービスチケットが要求される。本要求は失敗 (エラー コード 0x3C=一般エラー) となる)

- 詳細:接続元

- イベントログ

# イベントログ イベントID タスクのカテゴリ イベント内容
1 Microsoft-Windows-Sysmon/Operational 1 Process Create (rule: ProcessCreate) Process Create.
  • UtcTime: プロセス実行日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (検体のパス)
  • CommandLine: 実行コマンドのコマンドライン ([検体のパス] -u [ユーザー名] -s [ユーザーSID] -d [ドメイン])
  • CurrentDirectory: 作業ディレクトリ
  • User: 実行ユーザー
  • LogonGuid/LogonId: ログオンセッションのID
  • IntegrityLevel: 特権レベル (Medium)
  • Hashes: 実行ファイルのハッシュ値
  • ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID
  • ParentImage: 親プロセスの実行ファイル
  • ParentCommandLine: 親プロセスのコマンドライン
セキュリティ 4688 プロセス作成 新しいプロセスが作成されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > 新しいプロセスID: プロセスID (16進数)
  • プロセス情報 > 新しいプロセス名: 実行ファイルのパス (検体のパス)
  • プロセス情報 > トークン昇格の種類: 権限昇格の有無 (1)
  • プロセス情報 > 必須ラベル: 権限昇格の要否
  • プロセス情報 > 作成元プロセスID: 新プロセスを作成した親プロセスのプロセスID。Windows 7では「クリエイター プロセスID」
  • プロセス情報 > 作成元プロセス名: 新プロセスを作成した親プロセスのパス
  • ログの日時: プロセス実行日時 (ローカル時刻)
2 Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted (rule: RegistryEvent) Registry object added or deleted.
  • EventType: 処理の種類 (CreateKey)
  • Image: 実行ファイルのパス (検体のパス)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 作成・削除されたレジストリキー・値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\services\Tcpip\Parameters)
Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID (検体のプロセスID)
  • Image: 実行ファイルのパス (検体の実行ファイル名)
  • User: 実行ユーザー
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (接続元IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続元ホスト名)
  • SourcePort: 送信元ポート番号 (ハイポート)
  • DestinationIp: 宛先IPアドレス (ドメインコントローラーIPアドレス)
  • DestinationHostname: 宛先ホスト名 (ドメインコントローラーホスト名)
  • DestinationPort: 宛先ポート番号 (88)
セキュリティ 5158 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (検体のパス)
  • ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
  • ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (検体のパス)
  • ネットワーク情報 > 方向: 通信方向 (送信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元IPアドレス)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (ドメインコントローラーIPアドレス)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (88)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
3 Microsoft-Windows-Sysmon/Operational 11 File created (rule: FileCreate) File created.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (検体のパス)
  • TargetFilename: 作成されたファイル ([作業ディレクトリ]\TGT_[ユーザー名]@[ドメイン].ccache)
  • CreationUtcTime: ファイル作成日時 (UTC)
セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 ([作業ディレクトリ]\TGT_[ユーザー名]@[ドメイン].ccache)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (検体のパス)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 ([作業ディレクトリ]\TGT_[ユーザー名]@[ドメイン].ccache)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (検体のパス)
  • アクセス要求情報 > アクセス: 要求された権限
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (検体のパス)
4 Microsoft-Windows-Sysmon/Operational 5 Process terminated (rule: ProcessTerminate) Process terminated.
  • UtcTime: プロセス終了日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (検体のパス)
セキュリティ 4689 プロセス終了 プロセスが終了しました。
  • ログの日時: プロセス終了日時 (ローカル時刻)
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: 実行ファイルのパス (検体のパス)
  • プロセス情報 > 終了状態: プロセスの戻り値0x0
5 Microsoft-Windows-Sysmon/Operational 1 Process Create (rule: ProcessCreate) Process Create.
  • UtcTime: プロセス実行日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (mimikatzの検体のパス)
  • CommandLine: 実行コマンドのコマンドライン ([mimikatzの検体のパス] "kerberos::ptc TGT_[ユーザー名]@[ドメイン].ccache" exit)
  • CurrentDirectory: 作業ディレクトリ
  • User: 実行ユーザー
  • LogonGuid/LogonId: ログオンセッションのID
  • IntegrityLevel: 特権レベル (Medium)
  • Hashes: 実行ファイルのハッシュ値
  • ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID
  • ParentImage: 親プロセスの実行ファイル
  • ParentCommandLine: 親プロセスのコマンドライン
セキュリティ 4688 プロセス作成 新しいプロセスが作成されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > 新しいプロセスID: プロセスID (16進数)
  • プロセス情報 > 新しいプロセス名: 実行ファイルのパス (mimikatzの検体のパス)
  • プロセス情報 > トークン昇格の種類: 権限昇格の有無 (1)
  • プロセス情報 > 必須ラベル: 権限昇格の要否
  • プロセス情報 > 作成元プロセスID: 新プロセスを作成した親プロセスのプロセスID。Windows 7では「クリエイター プロセスID」
  • プロセス情報 > 作成元プロセス名: 新プロセスを作成した親プロセスのパス
  • ログの日時: プロセス実行日時 (ローカル時刻)
6 セキュリティ 4673 重要な特権の使用 特権のあるサービスが呼び出されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス > プロセス名: 特権を使用したプロセス (mimikatzの検体のパス)
  • プロセス > プロセスID: 特権を使用したプロセスのプロセスID
  • サービス要求情報 > 特権: 使用された特権 (SeTcbPrivilege)
7 Microsoft-Windows-Sysmon/Operational 5 Process terminated (rule: ProcessTerminate) Process terminated.
  • UtcTime: プロセス終了日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (mimikatzの検体のパス)
セキュリティ 4689 プロセス終了 プロセスが終了しました。
  • ログの日時: プロセス終了日時 (ローカル時刻)
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: 実行ファイルのパス (mimikatzの検体のパス)
  • プロセス情報 > 終了状態: プロセスの戻り値 (0x0)
8 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (System)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (接続元IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続元ホスト)
  • SourcePort: 送信元ポート番号 (ハイポート)
  • DestinationIp: 宛先IPアドレス (ドメインコントローラーIPアドレス)
  • DestinationHostname: 宛先ホスト名 (ドメインコントローラーホスト)
  • DestinationPort: 宛先ポート番号 (445)
セキュリティ 5158 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (System)
  • ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
  • ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (System)
  • ネットワーク情報 > 方向: 通信方向 (送信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元IPアドレス)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (ドメインコントローラーIPアドレス)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (445)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
9 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (System)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (接続元IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続元ホスト)
  • SourcePort: 送信元ポート番号 (ハイポート)
  • DestinationIp: 宛先IPアドレス (ドメインコントローラーIPアドレス)
  • DestinationHostname: 宛先ホスト名 (ドメインコントローラーホスト)
  • DestinationPort: 宛先ポート番号 (88)
セキュリティ 5158 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
  • ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > 方向: 通信方向 (送信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元IPアドレス)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (ドメインコントローラーIPアドレス)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (88)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)

- MFT

# パス ヘッダフラグ 有効
1 [作業ディレクトリ]\TGT_[ユーザー名]@[ドメイン名].ccache FILE ALLOCATED

- USNジャーナル

# ファイル名 処理 属性
1 TGT_[ユーザー名]@[ドメイン名].ccache FILE_CREATE archive
TGT_[ユーザー名]@[ドメイン名].ccache DATA_EXTEND+FILE_CREATE archive
TGT_[ユーザー名]@[ドメイン名].ccache CLOSE+DATA_EXTEND+FILE_CREATE archive

- 詳細:接続先

- イベントログ

# イベントログ イベントID タスクのカテゴリ イベント内容
1 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (ドメインコントローラーIPアドレス)
  • SourceHostname: 送信元ホスト名 (ドメインコントローラーホスト)
  • SourcePort: 送信元ポート番号 (88)
  • DestinationIp: 宛先IPアドレス (接続元IPアドレス)
  • DestinationHostname: 宛先ホスト名 (接続元ホスト)
  • DestinationPort: 宛先ポート番号 (ハイポート)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > 方向: 通信方向 (着信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (ドメインコントローラーIPアドレス)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (88)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続元IPアドレス)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
2 セキュリティ 4768 Kerberos 認証サービス Kerberos 認証チケット (TGT) が要求されました。
  • アカウント情報 > アカウント名: チケットを要求されたアカウント名 (ユーザー名)
  • アカウント情報 > 提供された領域名: アカウントのドメイン (ドメイン)
  • アカウント情報 > ユーザーID: アカウントのSID (ユーザーのSID)
  • ネットワーク情報 > クライアント アドレス: チケットの要求元IPアドレス (接続元のIPアドレス)
  • ネットワーク情報 > クライアント ポート: チケット要求の送信元ポート番号 (ハイポート)
  • 追加情報 > チケット オプション: チケットの設定内容 (0x50800000)
  • 追加情報 > 結果コード: チケットの処理結果 (0x0)
セキュリティ 4769 Kerberos サービス チケットの操作 Kerberos サービス チケットが要求されました。
  • アカウント情報 > アカウント名: チケットを要求されたアカウント名 ([ユーザー名]@[ドメイン])
  • アカウント情報 > アカウント ドメイン: アカウントのドメイン (ドメイン)
  • アカウント情報 > ログオンGUID: ログオンのセッションID
  • サービス情報 > サービス名: チケットのサービス名 (krbtgt)
  • サービス情報 > サービスID: サービスのSID (KerberosのSID)
  • ネットワーク情報 > クライアント アドレス: チケットの要求元IPアドレス (接続元IPアドレス)
  • ネットワーク情報 > クライアント ポート: チケット要求の送信元ポート番号 (ハイポート)
  • 追加情報 > チケット オプション: チケットの設定内容 (0x50800000)
  • 追加情報 > エラー コード: チケットの処理結果 (0x0)
3 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (System)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (ドメインコントローラーIPアドレス)
  • SourceHostname: 送信元ホスト名 (ドメインコントローラーホスト名)
  • SourcePort: 送信元ポート番号 (445)
  • DestinationIp: 宛先IPアドレス (接続元IPアドレス)
  • DestinationHostname: 宛先ホスト名 (接続元ホスト)
  • DestinationPort: 宛先ポート番号 (ハイポート)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (System)
  • ネットワーク情報 > 方向: 通信方向 (着信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (ドメインコントローラーIPアドレス)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (445)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続元IPアドレス)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
4 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (ドメインコントローラーIPアドレス)
  • SourceHostname: 送信元ホスト名 (ドメインコントローラーホスト名)
  • SourcePort: 送信元ポート番号 (88)
  • DestinationIp: 宛先IPアドレス (接続元IPアドレス)
  • DestinationHostname: 宛先ホスト名 (接続元ホスト名)
  • DestinationPort: 宛先ポート番号 (ハイポート)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (C:\Windows\System32\lsass.exe)
  • ネットワーク情報 > 方向: 通信方向 (着信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (ドメインコントローラーIPアドレス)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (88)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続元IPアドレス)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
5 セキュリティ 4769 Kerberos サービス チケットの操作 Kerberos サービス チケットが要求されました。
  • アカウント情報 > アカウント名: チケットを要求されたアカウント名 ([ユーザー名]@[ドメイン])
  • アカウント情報 > アカウント ドメイン: アカウントのドメイン (ドメイン)
  • アカウント情報 > ログオンGUID: ログオンのセッションID ({00000000-0000-0000-0000-000000000000})
  • サービス情報 > サービス名: チケットのサービス名 (krbtgt)
  • サービス情報 > サービスID: サービスのSID (NULL SID)
  • ネットワーク情報 > クライアント アドレス: チケットの要求元IPアドレス (接続元IPアドレス)
  • ネットワーク情報 > クライアント ポート: チケット要求の送信元ポート番号 (ハイポート)
  • 追加情報 > チケット オプション: チケットの設定内容 (0x40810000)
  • 追加情報 > エラー コード: チケットの処理結果 (0x3C)

- パケットキャプチャ

# 処理 送信元ホスト 送信元ポート番号 宛先ホスト 宛先ポート番号 プロトコル/アプリケーション
1 AS-REQ (メッセージ内の、Kerberos > as-req > padata > PA-DATA PA-PAC-REQUESTの"include-pac"が"False"となっている。 [接続元] [ハイポート] [ドメインコントローラー] 88 KRB5
AS-REP [ドメインコントローラー] 88 [接続元] [ハイポート] KRB5
2 TGS-REQ (メッセージ内の、Kerberos > tgs-req > padata > PA-DATA PA-PAC-REQUESTの"include-pac"が"False"となっている) [接続元] [ハイポート] [ドメインコントローラー] 88 TCP
TGS-REP (メッセージ内の、Kerberos > tgs-rep > ticket > enc-partの"etype"が"eTYPE-ARCFOUR-HMAC-MD5 (23)"となっている) [ドメインコントローラー] 88 [接続元] [ハイポート] TCP
3 TGS-REQ (メッセージ内の、Kerberos > tgs-req > padata > PA-DATA PA-TGS-REQ > padata-type > padata-value > ap-req > ticket内の、"enc-part"の情報が直前の"TGS-REP"で取得した内容と同様 (eTYPE-ARCFOUR-HMAC-MD5)となっている) [接続元] [ハイポート] [ドメインコントローラー] 88 KRB5
KRB Error: KRB5KRB_ERR_GENERIC (ドメインコントローラーのイベントID: 4769に記録されている「エラーコード 0x3C」は汎用エラーを指すため、このメッセージを返しているものと思われる) [ドメインコントローラー] 88 [接続元] [ハイポート] KRB5