SDB UAC Bypass

- 目次

全てのセクションを開く | 全てのセクションを閉じる

- ツール概要

カテゴリ
権限の昇格
説明
アプリケーション互換データベース (SDB) を用いて、UACにより制御されるアプリケーションを管理者権限で実行する。
攻撃時における想定利用例
通常のアプリケーションを実行するように見せかけて、他のアプリケーションを実行させる。この際、本来は管理者権限が必要なアプリケーションを、ユーザーによる承諾を経ることなく実行する。

- ツール動作概要

- 概要

項目 接続元
通信プロトコル
権限 Admin
ドメインへの所属 不要
サービス -
OS Windows 7
備考 管理者パスワードを入力することなく、UACにより管理者権限を利用することが可能な権限を持つユーザー (クライアント端末における、Administratorsグループに所属するユーザー)

- 動作確認環境

環境 動作可否
Windows 7 + Windows Server 2012 動作する
Windows 10 + Windows Server 2012 動作する
Windows 11 + Windows Server 2025 動作しない

- ログから得られる情報

標準設定
  • 接続元
    • Prefetch: 実行履歴
追加設定
  • 接続元
    • 監査ポリシー・Sysmon: C:\Windows\System32\sdbinst.exe"が実行された記録, 親プロセス名, 「回避に使用するアプリケーション」及び「回避実行されたアプリケーション」の記録

- 実行成功時に確認できる痕跡

- 実行時に記録される主要な情報

- 接続元

イベントログ

# ログ イベントID タスクのカテゴリ イベント内容
1 Microsoft-Windows-Sysmon/Operational 1 Process Create Process Create
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [実行ファイルパス]
  • FileVersion・Description・Product・Company・OriginalFileName: [実行ファイルのメタデータ]
  • CommandLine: [実行ファイルのパス] /q [実行ファイルのSDBファイル].sdb
  • CurrentDirectory: [実行ファイルの親フォルダパス]
  • User: [ドメイン名]\[ユーザ名]
  • LogonId: [ログオンID]
  • IntegrityLevel: High
  • Hashes: [実行ファイルのハッシュ値]
  • ParentProcessId: [親プロセスID]
  • ParentImage: [親プロセスのパス]
  • ParentCommandLine: [親プロセスのコマンドライン]
2 Security 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティ ID: [実行ユーザのSID]
  • サブジェクト > アカウント名: [実行ユーザ名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: C:\Windows\AppPatch\Custom\{[GUID]}.sd
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
  • アクセス要求情報 > アクセス: WriteDataまたはAddFile, AppendData, WriteAttributes
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
3 Microsoft-Windows-Sysmon/Operational 1 Process Create Process Create
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [回避に使用されるアプリケーションのパス]
  • FileVersion・Description・Product・Company・OriginalFileName: [回避に使用されるアプリケーションのメタデータ]
  • CommandLine: [回避に使用されるアプリケーションのパス]
  • CurrentDirectory: [回避に使用されるアプリケーションの親フォルダパス]
  • User: [ドメイン名]\[ユーザ名]
  • LogonId: [ログオンID]
  • IntegrityLevel: High
  • Hashes: [回避に使用されるアプリケーションのハッシュ値]
  • ParentProcessId: [親プロセスID]
  • ParentImage: [親プロセスのパス]
  • ParentCommandLine: [親プロセスのコマンドライン]
4 Microsoft-Windows-Application-Experience/Program-Telemetry 500 Application-Experience [Path] に互換性修正プログラムが適用されています。
  • Path: [回避に使用されるアプリケーションのパス]
  • Info: [修正したプログラムと修正内容 (Redirect.EXE、{[GUID]}、0x10205)]

確認中
5 Microsoft-Windows-Sysmon/Operational 1 Process Create Process Create
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: C:\Windows\SysWOW64\cmd.exe
  • FileVersion・Description・Product・Company・OriginalFileName: [cmdのメタデータ]
  • CommandLine: cmd /c C:\Users\[ユーザー名]\AppData\LocalLow\[権限昇格して実行するバッチ].bat
  • CurrentDirectory: C:\Windows\system32
  • User: [ドメイン名]\[ユーザ名]
  • LogonId: [ログオンID]
  • Hashes: [cmdのハッシュ値]
  • ParentProcessId: [親プロセスID]
  • ParentImage: [親プロセスのパス]
  • ParentCommandLine: [親プロセスのコマンドライン]

親プロセスは回避に使用されるアプリケーション

レジストリエントリ

# パス 備考
1 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{[GUID]}.sdb\DisplayName [回避に使用されるアプリケーションの表示名]
2 HKU\[ユーザーのSID]_Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache\[実行ファイルパス].ApplicationCompany %windir%\system32\sdbinst.exe -u "C:\Windows\AppPatch\Custom\{[GUID]}.sdb"

Prefetch

# Prefetchファイル プロセス名 プロセスパス 備考
1 C:\Windows\Prefetch\SDBINST.EXE-[文字列].pf SDBINST.EXE C:\Windows\System32
2 C:\Windows\Prefetch\[回避に使用されるアプリケーションの実行ファイル名]-[文字列].pf [回避に使用されるアプリケーションの実行ファイル名] C:\Windows\System32

MFT

# パス ヘッダフラグ 備考
1 [ドライブ名]:\Windows\Prefetch\SDBINST.EXE-[文字列].pf FILE ALLOCATED
2 [ドライブ名]:\Windows\Prefetch\[回避に使用されるアプリケーションの実行ファイル名]-[文字列].pf FILE ALLOCATED

USNジャーナル

# ファイル名 処理 備考
1 {[GUID]}.sdb
  • CLOSE+FILE_DELETE
2 [実行ファイルのSDBファイル].sdb
  • CLOSE+FILE_DELETE
3 [検体SDBインストール用バッチ].bat
  • CLOSE+FILE_DELETE
4 [回避に使用されるアプリケーションの実行ファイル名]-[文字列].pf
  • CLOSE+DATA_EXTEND+FILE_CREATE
5 SDBINST.EXE-[文字列].pf
  • CLOSE+DATA_EXTEND+DATA_TRUNCATION

- 詳細情報

- 接続元

イベントログ

# ログ イベントID タスクのカテゴリ イベント内容
1 Security 4688 Process Creation 新しいプロセスが作成されました。
  • 作成元サブジェクト > セキュリティ ID: [ユーザーのSID]
  • 作成元サブジェクト > アカウント名: [ユーザー名]
  • 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
  • 作成元サブジェクト > ログオン ID: [ログオンID]
  • プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID]
  • プロセス情報 > 新しいプロセス名: [実行ファイルのパス]
  • プロセス情報 > トークン昇格の種類: TokenElevationTypeDefault(1)
  • プロセス情報 > プロセスのコマンド ライン: [実行ファイルのパス] /q [実行ファイルのSDBファイル].sdb
  • プロセス情報 > 作成元プロセス ID: [親プロセスID]
  • プロセス情報 > 作成元プロセス名: [親プロセスのパス]
2 Microsoft-Windows-Sysmon/Operational 1 Process Create Process Create
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [実行ファイルパス]
  • FileVersion・Description・Product・Company・OriginalFileName: [実行ファイルのメタデータ]
  • CommandLine: [実行ファイルのパス] /q [実行ファイルのSDBファイル].sdb
  • CurrentDirectory: [実行ファイルの親フォルダパス]
  • User: [ドメイン名]\[ユーザ名]
  • LogonId: [ログオンID]
  • IntegrityLevel: High
  • Hashes: [実行ファイルのハッシュ値]
  • ParentProcessId: [親プロセスID]
  • ParentImage: [親プロセスのパス]
  • ParentCommandLine: [親プロセスのコマンドライン]
3 Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted Registry object added or deleted
  • EventType: CreateKey
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [実行ファイルのパス]
  • TargetObject: \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags
4 Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted Registry object added or deleted
  • EventType: CreateKey
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [実行ファイルのパス]
  • TargetObject: \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Custom
5 Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted Registry object added or deleted
  • EventType: CreateKey
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [実行ファイルのパス]
  • TargetObject: \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Custom\[回避に使用されるアプリケーションの実行ファイル名]
6 Microsoft-Windows-Sysmon/Operational 13 Registry value set Registry value set
  • EventType: SetValue
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [実行ファイルのパス]
  • TargetObject: \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Custom\[回避に使用されるアプリケーションの実行ファイル名]\{[GUID]}.sdb
  • Details: [レジストリに書き込まれた設定値 (QWORD値)]
  • User: [ドメイン名]\[ユーザ名]
7 Microsoft-Windows-Sysmon/Operational 11 File created File created
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [実行ファイルのパス]
  • TargetFilename: C:\Windows\AppPatch\Custom\{[GUID]}.sdb
  • CreationUtcTime: [ファイル作成日時(UTC)]
8 Security 4656 File System オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティ ID: [ユーザーのSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: C:\Windows\AppPatch\Custom\{[GUID]}.sdb
  • オブジェクト > ハンドル ID: [当該ハンドルの識別ID]
  • アクセス要求情報 > アクセス: WriteDataまたはAddFile, AppendData, WriteAttributesを含む
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
9 Security 4663 File System オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーのSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: C:\Windows\AppPatch\Custom\{[GUID]}.sdb
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
  • アクセス要求情報 > アクセス: WriteDataまたはAddFile, AppendData, WriteAttributes
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
10 Security 4658 File System オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティ ID: [ユーザーのSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > ハンドル ID: [直前のイベント4656で複製されたハンドル]
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
11 Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted Registry object added or deleted
  • EventType: CreateKey
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [実行ファイルのパス]
  • TargetObject: \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{[GUID]}.sdb
12 Microsoft-Windows-Sysmon/Operational 13 Registry value set Registry value set
  • EventType: SetValue
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [実行ファイルのパス]
  • TargetObject: \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{[GUID]}.sdb\DisplayName
  • Details: [回避に使用されるアプリケーションの表示名]
13 Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted Registry object added or deleted
  • EventType: CreateKey
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [実行ファイルのパス]
  • TargetObject: \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\InstalledSDB\{[GUID]}
14 Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted Registry object added or deleted
  • EventType: CreateKey
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [実行ファイルのパス]
  • TargetObject: \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\InstalledSDB\{[GUID]}\DatabasePath
15 Microsoft-Windows-Sysmon/Operational 13 Registry value set Registry value set
  • EventType: SetValue
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [実行ファイルのパス]
  • TargetObject: \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\InstalledSDB\{[GUID]}\DatabaseType
  • Details: 0x00010000
16 Microsoft-Windows-Sysmon/Operational 13 Registry value set Registry value set
  • EventType: SetValue
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [実行ファイルのパス]
  • TargetObject: \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\InstalledSDB\{[GUID]}\DatabaseDescription
  • Details: [回避に使用されるアプリケーションの表示名]
17 Microsoft-Windows-Sysmon/Operational 13 Registry value set Registry value set
  • EventType: SetValue
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [実行ファイルのパス]
  • TargetObject: \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\InstalledSDB\{[GUID]}\DatabaseInstallTimeStamp
  • Details: [タイムスタンプ]
18 Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted Registry object added or deleted
  • EventType: CreateKey
  • UtcTime: [発生日時(UTC)]
  • ProcessId: 4
  • Image: [実行ファイルのパス]
  • TargetObject: \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\SESSION MANAGER\AppCompatCache
19 Microsoft-Windows-Sysmon/Operational 13 Registry value set Registry value set
  • EventType: SetValue
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [実行ファイルのパス]
  • TargetObject: \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\SESSION MANAGER\AppCompatCache\AppCompatCache
  • Details: Binary Data
20 Microsoft-Windows-Sysmon/Operational 5 Process terminated Process terminated.
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [実行ファイルパス]
  • User: [ドメイン名]\[ユーザー名]
21 Security 4689 Process Termination プロセスが終了しました。
  • サブジェクト > セキュリティ ID: [ユーザーのSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • プロセス情報 > 終了状態: 0x0
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルパス]
22 Microsoft-Windows-Sysmon/Operational 11 File created File created
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: C:\WINDOWS\system32\svchost.exe
  • TargetFilename: C:\Windows\Prefetch\SDBINST.EXE-[文字列].pf
  • CreationUtcTime: [ファイル作成日時(UTC)]
23 Security 4656 File System オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティ ID: [実行ユーザーのSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: C:\Windows\Prefetch\SDBINST.EXE-[文字列].pf
  • オブジェクト > ハンドル ID: [当該ハンドルの識別ID]
  • アクセス要求情報 > アクセス: WriteDataまたはAddFile, AppendData, WriteAttributesを含む
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
24 Security 4663 File System オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティ ID: [実行ユーザーのSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: C:\Windows\Prefetch\SDBINST.EXE-[文字列].pf
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
  • アクセス要求情報 > アクセス: WriteDataまたはAddFile, AppendData, WriteAttributes
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
25 Security 4658 File System オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティ ID: [実行ユーザーのSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
26 Microsoft-Windows-Sysmon/Operational 1 Process Create Process Create
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [回避に使用されるアプリケーションのパス]
  • FileVersion・Description・Product・Company・OriginalFileName: [回避に使用されるアプリケーションのメタデータ]
  • CommandLine: [回避に使用されるアプリケーションのパス]
  • CurrentDirectory: [回避に使用されるアプリケーションの親フォルダパス]
  • User: [ドメイン名]\[ユーザ名]
  • LogonId: [ログオンID]
  • IntegrityLevel: High
  • Hashes: [回避に使用されるアプリケーションのハッシュ値]
  • ParentProcessId: [親プロセスID]
  • ParentImage: [親プロセスのパス]
  • ParentCommandLine: [親プロセスのコマンドライン]

権限昇格する実行ファイルを実行する
27 Security 4688 Process Creation 新しいプロセスが作成されました。
  • 作成元サブジェクト > セキュリティ ID: [ユーザーのSID]
  • 作成元サブジェクト > アカウント名: [ユーザー名]
  • 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
  • 作成元サブジェクト > ログオン ID: [ログオンID]
  • プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID]
  • プロセス情報 > 新しいプロセス名: [実行ファイルのパス]
  • プロセス情報 > トークン昇格の種類: TokenElevationTypeDefault(1)
  • プロセス情報 > プロセスのコマンド ライン: [回避に使用されるアプリケーションのパス]
  • プロセス情報 > 作成元プロセス ID: [親プロセスID]
  • プロセス情報 > 作成元プロセス名: [親プロセス名]

権限昇格する実行ファイルを実行する
28 Microsoft-Windows-Application-Experience/Program-Telemetry 500 Application-Experience [Path] に互換性修正プログラムが適用されています。
  • Path: [回避に使用されるアプリケーションのパス]
  • Info: [修正したプログラムと修正内容 (Redirect.EXE、{[GUID]}、0x10205)]

確認中
29 Microsoft-Windows-Sysmon/Operational 1 Process Create Process Create
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: C:\Windows\SysWOW64\cmd.exe
  • FileVersion・Description・Product・Company・OriginalFileName: [cmdのメタデータ]
  • CommandLine: cmd /c C:\Users\[ユーザー名]\AppData\LocalLow\[権限昇格して実行するバッチ].bat
  • CurrentDirectory: C:\Windows\system32
  • User: [ドメイン名]\[ユーザ名]
  • LogonId: [ログオンID]
  • Hashes: [cmdのハッシュ値]
  • ParentProcessId: [親プロセスID]
  • ParentImage: [親プロセスのパス]
  • ParentCommandLine: [親プロセスのコマンドライン]

権限を昇格して実行するバッチが実行される。親プロセスは権限昇格して実行されたプロセスとなる。
30 Security 4688 Process Creation 新しいプロセスが作成されました。
  • 作成元サブジェクト > セキュリティ ID: [ユーザーのSID]
  • 作成元サブジェクト > アカウント名: [ユーザー名]
  • 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
  • 作成元サブジェクト > ログオン ID: [ログオンID]
  • プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID]
  • プロセス情報 > 新しいプロセス名: C:\Windows\SysWOW64\cmd.exe
  • プロセス情報 > トークン昇格の種類: TokenElevationTypeDefault(1)
  • プロセス情報 > プロセスのコマンド ライン: cmd /c C:\Users\[ユーザー名]\AppData\LocalLow\[権限昇格して実行するバッチ].bat
  • プロセス情報 > 作成元プロセス ID: [親プロセスID]
  • プロセス情報 > 作成元プロセス名: [親プロセス名]

権限昇格する実行ファイルを実行する。親プロセスは回避に使用されるアプリケーション。
31 Microsoft-Windows-Sysmon/Operational 5 Process terminated Process terminated.
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [回避に使用されるアプリケーションのパス]
  • User: [ドメイン名]\[ユーザー名]
32 Security 4689 Process Termination プロセスが終了しました。
  • サブジェクト > セキュリティ ID: [ユーザーのSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • プロセス情報 > 終了状態: 0x0
  • プロセス情報 > プロセス ID: [回避に使用されるアプリケーションのプロセスID]
  • プロセス情報 > プロセス名: [回避に使用されるアプリケーションのパス]
33 Microsoft-Windows-Sysmon/Operational 11 File created File created
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: C:\WINDOWS\system32\svchost.exe
  • TargetFilename: C:\Windows\Prefetch\[回避に使用されるアプリケーションの実行ファイル名]-[文字列].pf
  • CreationUtcTime: [ファイル作成日時(UTC)]
34 Security 4656 File System オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティ ID: [実行ユーザーのSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: C:\Windows\Prefetch\[回避に使用されるアプリケーションの実行ファイル名]-[文字列].pf
  • オブジェクト > ハンドル ID: [当該ハンドルの識別ID]
  • アクセス要求情報 > アクセス: WriteDataまたはAddFile, AppendData, WriteAttributes
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
35 Security 4663 File System オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティ ID: [実行ユーザーのSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: C:\Windows\Prefetch\[回避に使用されるアプリケーションの実行ファイル名]-[文字列].pf
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
  • アクセス要求情報 > アクセス: WriteDataまたはAddFile, AppendData, WriteAttributes
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
36 Security 4658 File System オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティ ID: [実行ユーザーのSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe

レジストリエントリ

# パス 備考
1 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{[GUID]}.sdb\DisplayName [回避に使用されるアプリケーションの表示名]
2 HKU\[ユーザーのSID]_Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache\[実行ファイルパス].ApplicationCompany %windir%\system32\sdbinst.exe -u "C:\Windows\AppPatch\Custom\{[GUID]}.sdb"

Prefetch

# Prefetchファイル プロセス名 プロセスパス 備考
1 C:\Windows\Prefetch\SDBINST.EXE-[文字列].pf SDBINST.EXE C:\Windows\System32
2 C:\Windows\Prefetch\[回避に使用されるアプリケーションの実行ファイル名]-[文字列].pf [回避に使用されるアプリケーションの実行ファイル名] C:\Windows\System32

MFT

# パス ヘッダフラグ 備考
1 [ドライブ名]:\Windows\Prefetch\SDBINST.EXE-[文字列].pf FILE ALLOCATED
2 [ドライブ名]:\Windows\Prefetch\[回避に使用されるアプリケーションの実行ファイル名]-[文字列].pf FILE ALLOCATED

USNジャーナル

# ファイル名 処理 備考
1 {[GUID]}.sdb
  • FILE_CREATE
  • CLOSE+FILE_CREATE
  • DATA_EXTEND
  • DATA_EXTEND+DATA_OVERWRITE
  • BASIC_INFO_CHANGE+DATA_EXTEND_DATA_OVERWRITE
  • BASIC_INFO_CHANGE+CLOSE+DATA_EXTEND_DATA_OVERWRITE
 archive
2 [実行ファイルのSDBファイル].sdb
  • CLOSE+FILE_DELETE
3 [検体SDBインストール用バッチ].bat
  • CLOSE+FILE_DELETE
4 SDBINST.EXE-[文字列].pf
  • FILE_CREATE
  • DATA_EXTEND+FILE_CREATE
  • CLOSE+DATA_EXTEND+FILE_CREATE
 archive+not_indexed
5 [回避に使用されるアプリケーションの実行ファイル名]-[文字列].pf
  • FILE_CREAT
  • DATA_EXTEND+FILE_CREATE
  • CLOSE+DATA_EXTEND+FILE_CREATE
 archive+not_indexed
6 SDBINST.EXE-[文字列].pf
  • DATA_TRUNCATION
  • DATA_EXTEND+DATA_TRUNCATION
  • CLOSE+DATA_EXTEND+DATA_TRUNCATION
 archive+not_indexed

- 備考