SDB UAC Bypass

- 目次

全てのセクションを開く | 全てのセクションを閉じる

- ツール概要

カテゴリ
権限の昇格
説明
アプリケーション互換データベース (SDB) を用いて、UACにより制御されるアプリケーションを管理者権限で実行する。
攻撃時における想定利用例
通常のアプリケーションを実行するように見せかけて、他のアプリケーションを実行させる。この際、本来は管理者権限が必要なアプリケーションを、ユーザーによる承諾を経ることなく実行する。

- ツール動作概要

項目 内容
OS Windows 7
権限 管理者パスワードを入力することなく、UACにより管理者権限を利用することが可能な権限を持つユーザー (クライアント端末における、Administratorsグループに所属するユーザー)
ドメインへの所属 不要

- ログから得られる情報

標準設定
  • ホスト
    • 実行履歴 (Prefetch)
追加設定
  • ホスト
    • 実行履歴 (監査ポリシー, Sysmon)
    • "C:\Windows\System32\sdbinst.exe"が実行された記録 (監査ポリシー, Sysmon)
    • 親プロセス名(監査ポリシー, Sysmon)
    • 「回避に使用するアプリケーション」及び「回避実行されたアプリケーション」の記録 (監査ポリシー, Sysmon)

- 実行成功時に確認できる痕跡

- 実行時に記録される主要な情報

- ホスト

イベントログ

# ログ イベントID タスクのカテゴリ イベント内容
1 Microsoft-Windows-Sysmon/Operational 1 Process Create (rule: ProcessCreate) Process Create.
  • UtcTime: プロセス実行日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\sdbinst.exe)
  • CommandLine: 実行コマンドのコマンドライン (sdbinst /q [検体のSDBファイル].sdb)
  • User: 実行ユーザー
2 セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\AppPatch\Custom\{[GUID]}.sdb)
  • プロセス情報 > プロセスID: プロセスID (16進数) (先に発生したイベントID: 4688のPID)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\sdbinst.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendData, WriteAttributes)
3 Microsoft-Windows-Sysmon/Operational 1 Process Create (rule: ProcessCreate) Process Create.
  • UtcTime: プロセス実行日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (回避に使用されるアプリケーションのパス)
  • CommandLine: 実行コマンドのコマンドライン (回避に使用されるアプリケーションのパス)
  • User: 実行ユーザー
4 Microsoft-Windows-Application-Experience/Program-Telemetry 500 Application-Experience [対象のパス] に互換性修正プログラムが適用されています。
  • 対象のパス: 互換性修正プログラムが適用された実行ファイルのパス (回避に使用されるアプリケーションのパス)
  • 修正プログラム情報: 修正したプログラムと修正内容 (Redirect.EXE、{[GUID]}、0x10205)
5 Microsoft-Windows-Sysmon/Operational 1 Process Create (rule: ProcessCreate) Process Create.
  • UtcTime: プロセス実行日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\SysWOW64\cmd.exe)
  • CommandLine: 実行コマンドのコマンドライン (cmd /c C:\Users\[ユーザー名]\AppData\LocalLow\[権限昇格して実行するバッチ].bat)
  • CurrentDirectory: 作業ディレクトリ (C:\Windows\system32)
  • User: 実行ユーザー
  • ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID
  • ParentImage: 親プロセスの実行ファイル (回避に使用されるアプリケーションのパス)
  • ParentCommandLine: 親プロセスのコマンドライン (回避に使用されるアプリケーションのパス)

MFT

# パス ヘッダフラグ 有効
1 [ドライブ名]:\Windows\Prefetch\SDBINST.EXE-[文字列].pf FILE ALLOCATED
2 [ドライブ名]:\Windows\Prefetch\[回避に使用されるアプリケーションの実行ファイル名]-[文字列].pf FILE ALLOCATED

Prefetch

レジストリエントリ

# パス
1 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{[GUID]}.sdb\DisplayName [回避に使用されるアプリケーションの表示名]
2 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{[GUID]}.sdb\UninstallString %windir%\system32\sdbinst.exe -u "C:\Windows\AppPatch\Custom\{[GUID]}.sdb"

USNジャーナル

# ファイル名 処理
1 {[GUID]}.sdb CLOSE+FILE_DELETE
2 [検体のSDBファイル].sdb CLOSE+FILE_DELETE
3 [検体SDBインストール用バッチ].bat CLOSE+FILE_DELETE
4 [回避に使用されるアプリケーションの実行ファイル名]-[文字列].pf CLOSE+DATA_EXTEND+FILE_CREATE
5 SDBINST.EXE-[文字列].pf CLOSE+DATA_EXTEND+DATA_TRUNCATION

- 詳細:ホスト

- イベントログ

# イベントログ イベントID タスクのカテゴリ イベント内容
1 Microsoft-Windows-Sysmon/Operational 1 Process Create (rule: ProcessCreate) Process Create.
  • UtcTime: プロセス実行日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\sdbinst.exe)
  • CommandLine: 実行コマンドのコマンドライン (sdbinst /q [検体のSDBファイル].sdb)
  • CurrentDirectory: 作業ディレクトリ (C:\Windows\system32)
  • User: 実行ユーザー
  • LogonGuid/LogonId: ログオンセッションのID
  • IntegrityLevel: 特権レベル
  • Hashes: 実行ファイルのハッシュ値
  • ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID
  • ParentImage: 親プロセスの実行ファイル
  • ParentCommandLine: 親プロセスのコマンドライン
セキュリティ 4688 プロセス作成 新しいプロセスが作成されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > 新しいプロセスID: プロセスID (16進数)
  • プロセス情報 > 新しいプロセス名: 実行ファイルのパス (C:\Windows\System32\sdbinst.exe)
  • プロセス情報 > トークン昇格の種類: 権限昇格の有無 (1)
  • プロセス情報 > 作成元プロセスID: 新プロセスを作成した親プロセスのプロセスID。Windows 7では「クリエイター プロセスID」
  • ログの日時: プロセス実行日時 (ローカル時刻)
2 Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted (rule: RegistryEvent) Registry object added or deleted.
  • EventType: 処理の種類 (CreateKey)
  • Image: 実行ファイルのパス (C:\Windows\System32\sdbinst.exe)
  • ProcessGuid/ProcessId: プロセスID (先に発生したSysmonイベントID: 1のPID)
  • TargetObject: 作成・削除されたレジストリキー・値 (\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags)
Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted (rule: RegistryEvent) Registry object added or deleted.
  • EventType: 処理の種類 (CreateKey)
  • Image: 実行ファイルのパス (C:\Windows\System32\sdbinst.exe)
  • ProcessGuid/ProcessId: プロセスID (先に発生したSysmonイベントID: 1のPID)
  • TargetObject: 作成・削除されたレジストリキー・値 (\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Custom)
Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted (rule: RegistryEvent) Registry object added or deleted.
  • EventType: 処理の種類 (CreateKey)
  • Image: 実行ファイルのパス (C:\Windows\System32\sdbinst.exe)
  • ProcessGuid/ProcessId: プロセスID (先に発生したSysmonイベントID: 1のPID)
  • TargetObject: 作成・削除されたレジストリキー・値 (\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Custom\[回避に使用されるアプリケーションの実行ファイル名])
Microsoft-Windows-Sysmon/Operational 13 Registry value set (rule: RegistryEvent) Registry value set.
  • EventType: 処理の種類 (SetValue)
  • Image: 実行ファイルのパス (C:\Windows\System32\sdbinst.exe)
  • ProcessGuid/ProcessId: プロセスID (先に発生したSysmonイベントID: 1のPID)
  • TargetObject: 書き込み先のレジストリ値 (\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Custom\[回避に使用されるアプリケーションの実行ファイル名]\{[GUID]}.sdb)
  • Details: レジストリに書き込まれた設定値 (QWORD値)
3 Microsoft-Windows-Sysmon/Operational 11 File created (rule: FileCreate) File created.
  • ProcessGuid/ProcessId: プロセスID (先に発生したSysmonイベントID: 1のPID)
  • Image: 実行ファイルのパス (C:\Windows\System32\sdbinst.exe)
  • TargetFilename: 作成されたファイル (C:\Windows\AppPatch\Custom\{[GUID]}.sdb)
  • CreationUtcTime: ファイル作成日時 (UTC)
セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\AppPatch\Custom\{[GUID]}.sdb)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数) (先に発生したイベントID: 4688のPID)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\sdbinst.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendData, WriteAttributesを含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\AppPatch\Custom\{[GUID]}.sdb)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドルID)
  • プロセス情報 > プロセスID: プロセスID (16進数) (先に発生したイベントID: 4688のPID)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\sdbinst.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendData, WriteAttributes)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドルID)
  • プロセス情報 > プロセスID: プロセスID (16進数) (先に発生したイベントID: 4688のPID)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\sdbinst.exe)
4 Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted (rule: RegistryEvent) Registry object added or deleted.
  • EventType: 処理の種類 (SetValue)
  • Image: 実行ファイルのパス (C:\Windows\System32\sdbinst.exe)
  • ProcessGuid/ProcessId: プロセスID (先に発生したSysmon イベントID: 1のPID)
  • TargetObject: 作成・削除されたレジストリキー・値 (\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{[GUID]}.sdb)
Microsoft-Windows-Sysmon/Operational 13 Registry value set (rule: RegistryEvent) Registry value set.
  • EventType: 処理の種類 (SetValue)
  • Image: 実行ファイルのパス (C:\Windows\System32\sdbinst.exe)
  • ProcessGuid/ProcessId: プロセスID (先に発生したSysmon イベントID: 1のPID)
  • TargetObject: 書き込み先のレジストリ値 (\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{[GUID]}.sdb\DisplayName)
  • Details: レジストリに書き込まれた設定値 (回避に使用されるアプリケーションの表示名)
Microsoft-Windows-Sysmon/Operational 13 Registry value set (rule: RegistryEvent) Registry value set.
  • EventType: 処理の種類 (SetValue)
  • Image: 実行ファイルのパス (C:\Windows\System32\sdbinst.exe)
  • ProcessGuid/ProcessId: プロセスID (先に発生したSysmon イベントID: 1のPID)
  • TargetObject: 書き込み先のレジストリ値 (\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{[GUID]}.sdb\UninstallString)
  • Details: レジストリに書き込まれた設定値 (%windir%\system32\sdbinst.exe -u "C:\Windows\AppPatch\Custom\{[GUID]}.sdb")
Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted (rule: RegistryEvent) Registry object added or deleted.
  • EventType: 処理の種類 (CreateKey)
  • Image: 実行ファイルのパス (C:\Windows\System32\sdbinst.exe)
  • ProcessGuid/ProcessId: プロセスID (先に発生したSysmon イベントID: 1のPID)
  • TargetObject: 作成・削除されたレジストリキー・値 (\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\InstalledSDB)
Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted (rule: RegistryEvent) Registry object added or deleted.
  • EventType: 処理の種類 (CreateKey)
  • Image: 実行ファイルのパス (C:\Windows\System32\sdbinst.exe)
  • ProcessGuid/ProcessId: プロセスID (先に発生したSysmon イベントID: 1のPID)
  • TargetObject: 作成・削除されたレジストリキー・値 (\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\InstalledSDB\{[GUID]})
Microsoft-Windows-Sysmon/Operational 13 Registry value set (rule: RegistryEvent) Registry value set.
  • EventType: 処理の種類 (SetValue)
  • Image: 実行ファイルのパス (C:\Windows\System32\sdbinst.exe)
  • ProcessGuid/ProcessId: プロセスID (先に発生したSysmon イベントID: 1のPID)
  • TargetObject: 書き込み先のレジストリ値 (\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\InstalledSDB\{[GUID]}\DatabasePath)
  • Details: レジストリに書き込まれた設定値 (C:\Windows\AppPatch\Custom\{[GUID]}.sdb)
Microsoft-Windows-Sysmon/Operational 13 Registry value set (rule: RegistryEvent) Registry value set.
  • EventType: 処理の種類 (SetValue)
  • Image: 実行ファイルのパス (C:\Windows\System32\sdbinst.exe)
  • ProcessGuid/ProcessId: プロセスID (先に発生したSysmon イベントID: 1のPID)
  • TargetObject: 書き込み先のレジストリ値 (\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\InstalledSDB\{[GUID]}\DatabaseType)
  • Details: レジストリに書き込まれた設定値 (DWORD:0x00010000)
Microsoft-Windows-Sysmon/Operational 13 Registry value set (rule: RegistryEvent) Registry value set.
  • EventType: 処理の種類 (SetValue)
  • Image: 実行ファイルのパス (C:\Windows\System32\sdbinst.exe)
  • ProcessGuid/ProcessId: プロセスID (先に発生したSysmon イベントID: 1のPID)
  • TargetObject: 書き込み先のレジストリ値 (\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\InstalledSDB\{[GUID]}\DatabaseDescription)
  • Details: レジストリに書き込まれた設定値 (回避に使用されるアプリケーションの表示名)
Microsoft-Windows-Sysmon/Operational 13 Registry value set (rule: RegistryEvent) Registry value set.
  • EventType: 処理の種類 (SetValue)
  • Image: 実行ファイルのパス (C:\Windows\System32\sdbinst.exe)
  • ProcessGuid/ProcessId: プロセスID (先に発生したSysmon イベントID: 1のPID)
  • TargetObject: 書き込み先のレジストリ値 (\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\InstalledSDB\{[GUID]}\DatabaseInstallTimeStamp)
  • Details: レジストリに書き込まれた設定値 (QWORD:[タイムスタンプ])
Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted (rule: RegistryEvent) Registry object added or deleted.
  • EventType: 処理の種類 (CreateKey)
  • Image: 実行ファイルのパス (System)
  • ProcessGuid/ProcessId: プロセスID (4)
  • TargetObject: 作成・削除されたレジストリキー・値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\SESSION MANAGER\AppCompatCache)
Microsoft-Windows-Sysmon/Operational 13 Registry value set (rule: RegistryEvent) Registry value set.
  • EventType: 処理の種類 (SetValue)
  • Image: 実行ファイルのパス (System)
  • ProcessGuid/ProcessId: プロセスID (4)
  • TargetObject: 書き込み先のレジストリ値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\SESSION MANAGER\AppCompatCache\AppCompatCache)
  • Details: レジストリに書き込まれた設定値 (Binary Data)
5 Microsoft-Windows-Sysmon/Operational 5 Process terminated (rule: ProcessTerminate) Process terminated.
  • UtcTime: プロセス終了日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID (先に発生したSysmon イベントID: 1のPID)
  • Image: 実行ファイルのパス (C:\Windows\System32\sdbinst.exe)
セキュリティ 4689 プロセス終了 プロセスが終了しました。
  • ログの日時: プロセス終了日時 (ローカル時刻)
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > プロセスID: プロセスID (16進数) (先に発生したイベントID: 4688のPID)
  • プロセス情報 > プロセス名: 実行ファイルのパス (C:\Windows\System32\sdbinst.exe)
  • プロセス情報 > 終了状態: プロセスの戻り値 (0x0)
6 Microsoft-Windows-Sysmon/Operational 11 File created (rule: FileCreate) File created.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\svchost.exe)
  • TargetFilename: 作成されたファイル (C:\Windows\Prefetch\SDBINST.EXE-[文字列].pf)
  • CreationUtcTime: ファイル作成日時 (UTC)
セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\SDBINST.EXE-[文字列].pf)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendData, WriteAttributesを含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\SDBINST.EXE-[文字列].pf)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドルID)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendData, WriteAttributes)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドルID)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\svchost.exe)
7 Microsoft-Windows-Sysmon/Operational 1 Process Create (rule: ProcessCreate) Process Create.
  • UtcTime: プロセス実行日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (回避に使用されるアプリケーションのパス)
  • CommandLine: 実行コマンドのコマンドライン (回避に使用されるアプリケーションのパス)
  • CurrentDirectory: 作業ディレクトリ (C:\Windows\system32)
  • User: 実行ユーザー
  • LogonGuid/LogonId: ログオンセッションのID
  • IntegrityLevel: 特権レベル (High)
  • Hashes: 実行ファイルのハッシュ値
  • ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID
  • ParentImage: 親プロセスの実行ファイル
  • ParentCommandLine: 親プロセスのコマンドライン
備考: 権限昇格する実行ファイルを実行する。
セキュリティ 4688 プロセス作成 新しいプロセスが作成されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > 新しいプロセスID: プロセスID (16進数)
  • プロセス情報 > 新しいプロセス名: 実行ファイルのパス (回避に使用されるアプリケーションのパス)
  • プロセス情報 > トークン昇格の種類: 権限昇格の有無 (1)
  • プロセス情報 > 作成元プロセスID: 新プロセスを作成した親プロセスのプロセスID。Windows 7では「クリエイター プロセスID」
  • ログの日時: プロセス実行日時 (ローカル時刻)
備考: 権限昇格する実行ファイルを実行する。
Microsoft-Windows-Application-Experience/Program-Telemetry 500 Application-Experience [対象のパス] に互換性修正プログラムが適用されています。
  • 対象のパス: 互換性修正プログラムが適用された実行ファイルのパス (回避に使用されるアプリケーションのパス)
  • 修正プログラム情報: 修正したプログラムと修正内容 (Redirect.EXE、{[GUID]}、0x10205)
8 Microsoft-Windows-Sysmon/Operational 1 Process Create (rule: ProcessCreate) Process Create.
  • UtcTime: プロセス実行日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\SysWOW64\cmd.exe)
  • CommandLine: 実行コマンドのコマンドライン (cmd /c C:\Users\[ユーザー名]\AppData\LocalLow\[権限昇格して実行するバッチ].bat)
  • CurrentDirectory: 作業ディレクトリ (C:\Windows\system32)
  • User: 実行ユーザー
  • LogonGuid/LogonId: ログオンセッションのID
  • IntegrityLevel: 特権レベル (High)
  • Hashes: 実行ファイルのハッシュ値
  • ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID
  • ParentImage: 親プロセスの実行ファイル (回避に使用されるアプリケーションのパス)
  • ParentCommandLine: 親プロセスのコマンドライン (回避に使用されるアプリケーションのパス)
備考: 権限を昇格して実行するバッチが実行される。親プロセスは権限昇格して実行されたプロセスとなる。
セキュリティ 4688 プロセス作成 新しいプロセスが作成されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > 新しいプロセスID: プロセスID (16進数)
  • プロセス情報 > 新しいプロセス名: 実行ファイルのパス (C:\Windows\SysWOW64\cmd.exe)
  • プロセス情報 > トークン昇格の種類: 権限昇格の有無 (1)
  • プロセス情報 > 作成元プロセスID: 新プロセスを作成した親プロセスのプロセスID。Windows 7では「クリエイター プロセスID」 (回避に使用されるアプリケーションのプロセスID)
  • ログの日時: プロセス実行日時 (ローカル時刻)
備考: 権限昇格する実行ファイルを実行する。
9 Microsoft-Windows-Sysmon/Operational 5 Process terminated (rule: ProcessTerminate) Process terminated.
  • UtcTime: プロセス終了日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (回避に使用されるアプリケーションのパス)
備考: 権限昇格して実行されたプロセスが終了する。
セキュリティ 4689 プロセス終了 プロセスが終了しました。
  • ログの日時: プロセス終了日時 (ローカル時刻)
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > プロセスID: プロセスID (16進数) (先に発生したイベントID: 4688のPID)
  • プロセス情報 > プロセス名: 実行ファイルのパス (回避に使用されるアプリケーションのパス)
  • プロセス情報 > 終了状態: プロセスの戻り値 (0x0)
10 Microsoft-Windows-Sysmon/Operational 11 File created (rule: FileCreate) File created.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\svchost.exe)
  • TargetFilename: 作成されたファイル (C:\Windows\Prefetch\[回避に使用されるアプリケーションの実行ファイル名]-[文字列].pf)
  • CreationUtcTime: ファイル作成日時 (UTC)
備考: 権限昇格して実行されたプロセスのPrefetchが作成される。
セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\[回避に使用されるアプリケーションの実行ファイル名]-[文字列].pf)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendData, WriteAttributesを含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\[回避に使用されるアプリケーションの実行ファイル名]-[文字列].pf)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドルID)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendData, WriteAttributes)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドルID)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\svchost.exe)

- MFT

# パス ヘッダフラグ 有効
1 [ドライブ名]:\Windows\Prefetch\SDBINST.EXE-[文字列].pf FILE ALLOCATED
2 [ドライブ名]:\Windows\Prefetch\[回避に使用されるアプリケーションの実行ファイル名]-[文字列].pf FILE ALLOCATED

- Prefetch

# Prefetchファイル プロセス名 プロセスパス ログから得られる情報
1 C:\Windows\Prefetch\SDBINST.EXE-[文字列].pf SDBINST.EXE C:\Windows\System32 Last Run Time (最終実行日時)
C:\Windows\Prefetch\[回避に使用されるアプリケーションの実行ファイル名]-[文字列].pf [回避に使用されるアプリケーションの実行ファイル名] C:\Windows\System32 Last Run Time (最終実行日時)

- レジストリエントリ

# パス 種類
1 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{[GUID]}.sdb\DisplayName String [回避に使用されるアプリケーションの表示名]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{[GUID]}.sdb\UninstallString String %windir%\system32\sdbinst.exe -u "C:\Windows\AppPatch\Custom\{[GUID]}.sdb"

- USNジャーナル

# ファイル名 処理 属性
1 {[GUID]}.sdb FILE_CREATE archive
{[GUID]}.sdb CLOSE+FILE_CREATE archive
{[GUID]}.sdb DATA_EXTEND archive
{[GUID]}.sdb DATA_EXTEND+DATA_OVERWRITE archive
{[GUID]}.sdb BASIC_INFO_CHANGE+DATA_EXTEND_DATA_OVERWRITE archive
{[GUID]}.sdb BASIC_INFO_CHANGE+CLOSE+DATA_EXTEND_DATA_OVERWRITE archive
2 SDBINST.EXE-[文字列].pf FILE_CREATE archive+not_indexed
SDBINST.EXE-[文字列].pf DATA_EXTEND+FILE_CREATE archive+not_indexed
SDBINST.EXE-[文字列].pf CLOSE+DATA_EXTEND+FILE_CREATE archive+not_indexed
3 [回避に使用されるアプリケーションの実行ファイル名]-[文字列].pf FILE_CREATE archive+not_indexed
[回避に使用されるアプリケーションの実行ファイル名]-[文字列].pf DATA_EXTEND+FILE_CREATE archive+not_indexed
[回避に使用されるアプリケーションの実行ファイル名]-[文字列].pf CLOSE+DATA_EXTEND+FILE_CREATE archive+not_indexed
4 SDBINST.EXE-[文字列].pf DATA_TRUNCATION archive+not_indexed
SDBINST.EXE-[文字列].pf DATA_EXTEND+DATA_TRUNCATION archive+not_indexed
SDBINST.EXE-[文字列].pf CLOSE+DATA_EXTEND+DATA_TRUNCATION archive+not_indexed

- 備考