Out-Minidump (PowerSploit)

- 目次

全てのセクションを開く | 全てのセクションを閉じる

- ツール概要

カテゴリ
パスワード、ハッシュの入手
説明
メモリ上のプロセスをダンプする。
攻撃時における想定利用例
ユーザーのパスワードを取得し、不正ログインに使用する。

- ツール動作概要

項目 内容
OS Windows
ドメインへの所属 不要
権限 管理者ユーザー

- ログから得られる情報

標準設定
  • ホスト
    • 実行履歴 (Prefetch)
    • 実行されたスクリプト・コマンドの内容 (Windows 10のみ。「Microsoft-Windows-PowerShell/Operational」およびC:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txtに記録される)
追加設定
  • ホスト
    • 実行履歴 (監査ポリシー, Sysmon)
    • 「プロセス メモリからの読み取り」が発生していること (監査ポリシー)
    • lsassのダンプファイルが作成されたこと (監査ポリシー, MFT, USNジャーナル)
    • 実行されたスクリプト・コマンドの内容 (Windows 7にWindows Management Framework 5.0をインストールした場合。「Microsoft-Windows-PowerShell/Operational」およびC:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txtに記録される)

- 実行成功時に確認できる痕跡

- 実行時に記録される主要な情報

- ホスト

イベントログ

# ログ イベントID タスクのカテゴリ イベント内容
1 Microsoft-Windows-Sysmon/Operational 1 Process Create (rule: ProcessCreate) Process Create.
  • UtcTime: プロセス実行日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • CommandLine: 実行コマンドのコマンドライン (通常はpowershell.exeのパスのみ。但し、スクリプトを引数で指定した場合、その引数がコマンドラインに残る場合がある)
  • Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • User: 実行ユーザー
2 Microsoft-Windows-Sysmon/Operational 11 File created (rule: FileCreate) File created.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • TargetFilename: 作成されたファイル ([PowerSploitのパス]\lsass_[lsassのPID].dmp)
  • CreationUtcTime: ファイル作成日時 (UTC)
3 セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • オブジェクト > オブジェクトの種類: 対象の区分 (Process)
  • オブジェクト > オブジェクト名: 対象のファイル名 (\Device\HarddiskVolume2\Windows\System32\lsass.exe)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (プロセス メモリからの読み取り)
4 セキュリティ 4689 プロセス終了 プロセスが終了しました。
  • ログの日時: プロセス終了日時 (ローカル時刻)
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • プロセス情報 > プロセス名: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • プロセス情報 > 終了状態: プロセスの戻り値

MFT

# パス ヘッダフラグ 有効
1 [PowerSploitのパス]\lsass_[lsassのPID].dmp FILE ALLOCATED

Prefetch

UserAssist

# Registry Data
1 \REGISTRY\USER\[ユーザーSID]\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{[GUID]}\Count\{[GUID]}\JvaqbjfCbjreFuryy\i1.0\cbjrefuryy.rkr 初回実行日時、累計実行回数

USNジャーナル

# ファイル名 処理
1 lsass_[lsassのPID].dmp FILE_CREATE
2 lsass_[lsassのPID].dmp DATA_EXTEND+FILE_CREATE
3 lsass_[lsassのPID].dmp DATA_EXTEND+DATA_OVERWRITE+FILE_CREATE
4 lsass_[lsassのPID].dmp CLOSE+DATA_EXTEND+DATA_OVERWRITE+FILE_CREATE

- 詳細:ホスト

- イベントログ

# イベントログ イベントID タスクのカテゴリ イベント内容
1 Microsoft-Windows-Sysmon/Operational 1 Process Create (rule: ProcessCreate) Process Create.
  • UtcTime: プロセス実行日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • CommandLine: 実行コマンドのコマンドライン (通常はpowershell.exeのパスのみ。但し、スクリプトを引数で指定した場合、その引数がコマンドラインに残る場合がある)
  • User: 実行ユーザー
  • LogonGuid/LogonId: ログオンセッションのID
  • Hashes: 実行ファイルのハッシュ値
  • ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID
  • ParentImage: 親プロセスの実行ファイル
  • ParentCommandLine: 親プロセスのコマンドライン
セキュリティ 4688 プロセス作成 新しいプロセスが作成されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > トークン昇格の種類: 権限昇格の有無 (1)
  • プロセス情報 > 新しいプロセスID: プロセスID (16進数)
  • プロセス情報 > 新しいプロセス名: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • プロセス情報 > 作成元プロセスID: 新プロセスを作成した親プロセスのプロセスID。Windows 7では「クリエイター プロセスID」
  • プロセス情報 > 作成元プロセス名: 新プロセスを作成した親プロセスのパス (C:\Windows\explorer.exe)
  • プロセス情報 > 必須ラベル: 権限昇格の要否 (Mandatory Label\High Mandatory Level)
  • ログの日時: プロセス実行日時 (ローカル時刻)
Microsoft-Windows-PowerShell/Operational 40961 PowerShell コンソールの起動 PowerShell コンソールを起動しています
Microsoft-Windows-PowerShell/Operational 53504 PowerShell 名前付きパイプ IPC Windows PowerShell は、[ドメイン] のプロセス [プロセスID] で IPC リッスン スレッドを開始しました。
Microsoft-Windows-PowerShell/Operational 40962 PowerShell コンソールの起動 PowerShell コンソールはユーザー入力を受け入れられるようになりました
2 Microsoft-Windows-Sysmon/Operational 13 Registry value set (rule: RegistryEvent) Registry value set.
  • EventType: 処理の種類 (SetValue)
  • Image: 実行ファイルのパス (C:\Windows\Explorer.EXE)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 書き込み先のレジストリ値 (\REGISTRY\USER\[ユーザーSID]\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{[GUID]}\Count\{[GUID]}\JvaqbjfCbjreFuryy\i1.0\cbjrefuryy.rkr)
  • Details: レジストリに書き込まれた設定値 (Binary Data)
3 Microsoft-Windows-Sysmon/Operational 10 Process accessed (rule: ProcessAccess) Process accessed.
  • GrantedAccess: 許可されたアクセスの内容
  • SourceImage: アクセス元プロセスのパス (C:\Windows\Explorer.EXE)
  • SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID
  • TargetImage: アクセス先プロセスのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID
4 Microsoft-Windows-Sysmon/Operational 10 Process accessed (rule: ProcessAccess) Process accessed.
  • GrantedAccess: 許可されたアクセスの内容
  • SourceImage: アクセス元プロセスのパス (C:\Windows\system32\lsass.exe)
  • SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID
  • TargetImage: アクセス先プロセスのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID
5 Microsoft-Windows-Sysmon/Operational 11 File created (rule: FileCreate) File created.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • TargetFilename: 作成されたファイル (C:\Users\[ユーザー名]\AppData\Local\Temp\[ランダム文字列].ps1)
  • CreationUtcTime: ファイル作成日時 (UTC)
セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Temp\[ランダム文字列].ps1)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFileを含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Temp\[ランダム文字列].ps1)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドルID)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteAttributes)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
6 Microsoft-Windows-Sysmon/Operational 11 File created (rule: FileCreate) File created.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • TargetFilename: 作成されたファイル (C:\Users\[ユーザー名]\AppData\Local\Temp\[ランダム文字列].psm1)
  • CreationUtcTime: ファイル作成日時 (UTC)
セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Temp\[ランダム文字列].psm1)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, WriteAttributesを含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Temp\[ランダム文字列].psm1)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドルID)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
7 セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Temp\[ランダム文字列].ps1)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (DELETEを含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Temp\[ランダム文字列].ps1)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドルID)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (DELETE)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
8 セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Temp\[ランダム文字列].psm1)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (DELETEを含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Temp\[ランダム文字列].psm1)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドルID)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス: 要求された権限
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (DELETE)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
9 セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\POWERSHELL.EXE-[文字列].pf)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\POWERSHELL.EXE-[文字列].pf)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドルID)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
  • アクセス要求情報 > アクセス: 要求された権限
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendData)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\svchost.exe)
10 セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_History.txt)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_History.txt)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドルID)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス: 要求された権限
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendData)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
11 Microsoft-Windows-PowerShell/Operational 4104 リモート コマンドを実行します Scriptblock テキストを作成しています
12 Microsoft-Windows-Sysmon/Operational 10 Process accessed (rule: ProcessAccess) Process accessed.
  • SourceImage: アクセス元プロセスのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID
  • TargetImage: アクセス先プロセスのパス (C:\Windows\system32\lsass.exe)
  • TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID
  • GrantedAccess: 許可されたアクセスの内容 (0x1F3FFF, 0x1FFFFF)
セキュリティ 4690 ハンドル操作 特定プロセスからハンドルが複製された。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • 複製元ハンドル情報 > 複製元ハンドルID: 複製元のハンドルID
  • 複製元ハンドル情報 > 複製元プロセスID: 複製元のプロセスID (PowerShellのプロセスID)
  • 新しいハンドル情報 > 複製先ハンドルID: 複製先の新規ハンドルID
  • 新しいハンドル情報 > 複製先プロセスID: 新規ハンドルIDを持つ複製先のプロセスID (0x4=SystemのプロセスID)
備考: PowerShellからSystem (PID 0x4)へハンドルが複製される。
セキュリティ 4658 カーネル オブジェクト オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4690でSystemへ複製されたハンドルID)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
セキュリティ 4656 カーネル オブジェクト オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (Process)
  • オブジェクト > オブジェクト名: 対象のファイル名 (\Device\HarddiskVolume2\Windows\System32\lsass.exe)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (プロセス メモリからの読み取り を含む)
セキュリティ 4690 ハンドル操作 特定プロセスからハンドルが複製された。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • 複製元ハンドル情報 > 複製元ハンドルID: 複製元のハンドルID
  • 複製元ハンドル情報 > 複製元プロセスID: 複製元のプロセスID (PowerShellのプロセスID)
  • 新しいハンドル情報 > 複製先ハンドルID: 複製先の新規ハンドルID
  • 新しいハンドル情報 > 複製先プロセスID: 新規ハンドルIDを持つ複製先のプロセスID (0x4=SystemのプロセスID)
セキュリティ 4658 カーネル オブジェクト オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4690でSystemへ複製されたハンドルID)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
13 Microsoft-Windows-Sysmon/Operational 11 File created (rule: FileCreate) File created.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • TargetFilename: 作成されたファイル ([PowerSploitのパス]\lsass_[lsassのPID].dmp)
  • CreationUtcTime: ファイル作成日時 (UTC)
セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 ([PowerSploitのパス]\lsass_[lsassのPID].dmp)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
セキュリティ 4656 カーネル オブジェクト オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (Process)
  • オブジェクト > オブジェクト名: 対象のファイル名 (\Device\HarddiskVolume2\Windows\System32\lsass.exe)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (プロセス メモリからの読み取り を含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (Process)
  • オブジェクト > オブジェクト名: 対象のファイル名 (\Device\HarddiskVolume2\Windows\System32\lsass.exe)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドルID)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (プロセス メモリからの読み取り)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 カーネル オブジェクト オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドルID)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 ([PowerSploitのパス]\lsass_[lsassのPID].dmp)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (lsass_[lsassのPID].dmpに対するイベントID: 4656で取得されたハンドルID)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
14 Microsoft-Windows-Sysmon/Operational 5 Process terminated (rule: ProcessTerminate) Process terminated.
  • UtcTime: プロセス終了日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
セキュリティ 4689 プロセス終了 プロセスが終了しました。
  • ログの日時: プロセス終了日時 (ローカル時刻)
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • プロセス情報 > 終了状態: プロセスの戻り値

- MFT

# パス ヘッダフラグ 有効
1 [PowerSploitのパス]\lsass_[lsassのPID].dmp FILE ALLOCATED

- Prefetch

# Prefetchファイル プロセス名 プロセスパス ログから得られる情報
1 POWERSHELL.EXE-[文字列].pf POWERSHELL.EXE \VOLUME{[GUID]}\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Last Run Time (最終実行日時)

- UserAssist

# レジストリエントリ ログから得られる情報
1 \REGISTRY\USER\[ユーザーSID]\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{[GUID]}\Count\{[GUID]}\JvaqbjfCbjreFuryy\i1.0\cbjrefuryy.rkr 初回実行日時、累計実行回数

- USNジャーナル

# ファイル名 処理 属性
1 [ランダム文字列].ps1 FILE_CREATE archive
[ランダム文字列].ps1 DATA_EXTEND+FILE_CREATE archive
[ランダム文字列].ps1 CLOSE+DATA_EXTEND+FILE_CREATE archive
[ランダム文字列].psm1 FILE_CREATE archive
[ランダム文字列].psm1 DATA_EXTEND+FILE_CREATE archive
[ランダム文字列].psm1 CLOSE+DATA_EXTEND+FILE_CREATE archive
[ランダム文字列].ps1 CLOSE+FILE_DELETE archive
[ランダム文字列].psm1 CLOSE+FILE_DELETE archive
2 ConsoleHost_history.txt DATA_EXTEND archive
ConsoleHost_history.txt CLOSE+DATA_EXTEND archive
3 lsass_[lsassのPID].dmp FILE_CREATE archive
lsass_[lsassのPID].dmp DATA_EXTEND+FILE_CREATE archive
lsass_[lsassのPID].dmp DATA_EXTEND+DATA_OVERWRITE+FILE_CREATE archive
lsass_[lsassのPID].dmp CLOSE+DATA_EXTEND+DATA_OVERWRITE+FILE_CREATE archive