Out-Minidump (PowerSploit)

- 目次

ツール概要
ツール動作概要
ログから得られる情報
実行成功時に確認できる痕跡
実行時に記録される主要な情報
詳細情報: 接続元

全てのセクションを開く | 全てのセクションを閉じる

- ツール概要

カテゴリ: パスワード、ハッシュの入手
説明: メモリ上のプロセスをダンプする。
攻撃時における想定利用例: ユーザーのパスワードを取得し、不正ログインに使用する。

- ツール動作概要

- 概要

項目	接続元
通信プロトコル	-
権限	Admin
ドメインへの所属	不要
サービス	-
OS	Windows
備考	-

- 動作確認環境

環境	動作可否
Windows 7 + Windows Server 2012	動作する
Windows 10 + Windows Server 2012	動作する
Windows 11 + Windows Server 2025	動作する

- ログから得られる情報

標準設定

接続元
- Prefetch: 実行履歴
- PowerShellログ: スクリプトの実行内容。「Microsoft-Windows-PowerShell/Operational」および「C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt」に記録される

追加設定

接続元
- 監査ポリシー・Sysmon: 実行履歴, プロセスメモリからの読み取りの記録
- 監査ポリシー・Sysmon・MFT・USNジャーナル: lsassのダンプファイルの作成

- 実行成功時に確認できる痕跡

接続元
- lsassのダンプファイル(lsass_[lsassのプロセスID].dmp)が作成される。

- 実行時に記録される主要な情報

- 接続元

イベントログ

#	ログ	イベントID	タスクのカテゴリ	イベント内容
1	Microsoft-Windows-PowerShell/Operational	4104	リモートコマンドを実行	Scriptblock テキストを作成しています ScriptText: [実行されたスクリプトの内容]
2	Security	4656	Kernel Object	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] オブジェクト > オブジェクトの種類: Process オブジェクト > オブジェクト名: \Device\HarddiskVolume[ボリューム番号]\Windows\System32\lsass.exe オブジェクト > ハンドル ID: [ハンドルID] プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
3	Security	4663	File System	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: [PowerSploitのパス]\lsass_[lsassのプロセスID].dmp オブジェクト > ハンドル ID: [ハンドルID] プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

MFT

#	パス	ヘッダフラグ	備考
1	[PowerSploitのパス]\lsass_[lsassのプロセスID].dmp	FILE	InUse

USNジャーナル

#	ファイル名	処理	備考
1	lsass_[lsassのプロセスID].dmp	DataOverwrite DataExtend FileCreate Close	Archive

- 詳細情報

- 接続元

イベントログ

#	ログ	イベントID	タスクのカテゴリ	イベント内容
1	Microsoft-Windows-PowerShell/Operational	4104	リモートコマンドを実行	Scriptblock テキストを作成しています ScriptText: [実行されたスクリプトの内容]
2	Microsoft-Windows-Sysmon/Operational	11	File created	File created UtcTime: [発生日時(UTC)] ProcessId: [プロセスID] Image: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe TargetFilename: [PowerSploitのパス]\lsass_[lsassのプロセスID].dmp CreationUtcTime: [変更後のタイムスタンプ(UTC)] User: [ドメイン名]\[ユーザー名]
3	Security	4656	File System	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt オブジェクト > ハンドル ID: [ハンドルID] アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), WriteEA, ReadAttributes, WriteAttributes プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
4	Security	4663	File System	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] アクセス要求情報 > アクセス: WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance) プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
5	Security	4658	File System	オブジェクトに対するハンドルが閉じました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
6	Security	4656	Kernel Object	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] オブジェクト > オブジェクトの種類: Process オブジェクト > オブジェクト名: \Device\HarddiskVolume[ボリューム番号]\Windows\System32\lsass.exe オブジェクト > ハンドル ID: [ハンドルID] アクセス要求情報 > アクセス: DELETE, READ_CONTROL, WRITE_DAC, WRITE_OWNER, SYNCHRONIZE, プロセスの強制終了, プロセス内の新しいスレッドの作成, プロセスセッション ID の設定, 仮想メモリ操作の実行, プロセスメモリからの読み取り, プロセスメモリへの書き込み, プロセスとの間のハンドルの複製, プロセスのサブプロセスの作成, プロセスクォータの設定, プロセス情報の設定, プロセス情報の照会, プロセス終了ポートの設定, 未定義のアクセス (影響なし) ビット 12, 未定義のアクセス (影響なし) ビット 13 プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
7	Security	4656	File System	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: [PowerSploitのパス]\lsass_[lsassのプロセスID].dmp オブジェクト > ハンドル ID: [ハンドルID] プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
8	Security	4663	File System	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: Process オブジェクト > オブジェクト名: \Device\HarddiskVolume[ボリューム番号]\Windows\System32\lsass.exe オブジェクト > ハンドル ID: [イベント4656で取得されたProcessに対するハンドル] アクセス要求情報 > アクセス: プロセスメモリからの読み取りプロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
9	Security	4658	Kernel Object	オブジェクトに対するハンドルが閉じました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] オブジェクト > オブジェクトサーバー: Security オブジェクト > ハンドル ID: [イベント4656で取得されたProcessに対するハンドル] プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
10	Security	4663	File System	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: [PowerSploitのパス]\lsass_[lsassのプロセスID].dmp オブジェクト > ハンドル ID: [イベント4656で取得されたFileに対するハンドル] アクセス要求情報 > アクセス: WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance) プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
11	Security	4658	File System	オブジェクトに対するハンドルが閉じました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] オブジェクト > オブジェクトサーバー: Security オブジェクト > ハンドル ID: [イベント4656で取得されたFileに対するハンドル] プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

MFT

#	パス	ヘッダフラグ	備考
1	.\Users\[ユーザー名]\Desktop\PowerSploit\PowerSploit\lsass_[lsassのプロセスID].dmp	FILE	InUse

USNジャーナル

#	ファイル名	処理	備考
1	lsass_[lsassのプロセスID].dmp	DataOverwrite DataExtend FileCreate Close	Archive