WCE

- 目次

ツール概要
ツール動作概要
ログから得られる情報
実行成功時に確認できる痕跡
実行時に記録される主要な情報
詳細：ホスト
備考

全てのセクションを開く | 全てのセクションを閉じる

- ツール概要

カテゴリ: パスワード、ハッシュ入手
説明: ホストのメモリ内に存在する、パスワードハッシュを取得する。
攻撃時における想定利用例: 取得したパスワードハッシュを用いて、pass-the-hashなどの攻撃を行う。

- ツール動作概要

項目	内容
OS	Windows 7 32ビット版
ドメインへの所属	不要
権限	管理者ユーザー

- ログから得られる情報

標準設定

ホスト
- 実行履歴 (Prefetch)
- 一時ファイル(wceaux.dll)の作成 (監査ポリシー, USNジャーナル)

追加設定

ホスト
- 実行履歴 (監査ポリシー, Sysmon)
- WCEによるlsass.exeの参照 (Sysmon)
- ファイルの作成・削除 (監査ポリシー)

- 実行成功時に確認できる痕跡

"C:\Users\[ユーザー名]\AppData\Local\Temp\wceaux.dll"ファイルが作成、削除されている。

- 実行時に記録される主要な情報

- ホスト

イベントログ

#	ログ	イベントID	タスクのカテゴリ	イベント内容
1	Microsoft-Windows-Sysmon/Operational	1	Process Create (rule: ProcessCreate)	Process Create. UtcTime: プロセス実行日時 (UTC) ProcessGuid/ProcessId: プロセスID Image: 実行ファイルのパス (検体のパス) CommandLine: 実行コマンドのコマンドライン ([検体のパス] -w) User: 実行ユーザー
2	セキュリティ	4663	ファイルシステム	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメインオブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Temp\wceaux.dll) プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (検体のパス) アクセス要求情報 > アクセス/アクセス理由/アクセスマスク: 要求された権限 (WriteDataまたはAddFile)
3	Microsoft-Windows-Sysmon/Operational	10	Process accessed (rule: ProcessAccess)	Process accessed. SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID SourceImage: アクセス元プロセスのパス (検体のパス) TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID TargetImage: アクセス先プロセスのパス (C:\Windows\system32\lsass.exe) GrantedAccess: 許可されたアクセスの内容
4	Microsoft-Windows-Sysmon/Operational	8	CreateRemoteThread detected (rule: CreateRemoteThread)	CreateRemoteThread detected. UtcTime: 実行日時 (UTC) SourceProcessGuid/SourceProcessId: 作成元プロセスのプロセスID SourceImage: 作成元プロセスのパス (検体のパス) TargetProcessGuid/TargetProcessId: 作成先プロセスのプロセスID TargetImage: 作成先プロセスのパス (C:\Windows\System32\lsass.exe) NewThreadId: 新規スレッドのスレッドID
5	セキュリティ	4663	ファイルシステム	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメインサブジェクト > ログオンID: プロセスを実行したユーザーのセッションID オブジェクト > オブジェクトの種類: 対象の区分 (File) オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Temp\wceaux.dll) オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル) プロセス情報 > プロセスID: プロセスID (16進数) プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (検体のパス) アクセス要求情報 > アクセス/アクセス理由/アクセスマスク: 要求された権限 (DELETE) 成功の監査: 成否 (アクセス成功)

Prefetch

C:\Windows\Prefetch\[検体の実行ファイル名]-[文字列].pf

USNジャーナル

#	ファイル名	処理
1	wceaux.dll	CLOSE+FILE_DELETE

- 詳細：ホスト

- イベントログ

#	イベントログ	イベントID	タスクのカテゴリ	イベント内容
1	Microsoft-Windows-Sysmon/Operational	1	Process Create (rule: ProcessCreate)	Process Create. UtcTime: プロセス実行日時 (UTC) ProcessGuid/ProcessId: プロセスID Image: 実行ファイルのパス (検体のパス) CommandLine: 実行コマンドのコマンドライン ([検体のパス] -w) CurrentDirectory: 作業ディレクトリ User: 実行ユーザー LogonGuid/LogonId: ログオンセッションのID IntegrityLevel: 特権レベル (High) Hashes: 実行ファイルのハッシュ値 ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID ParentImage: 親プロセスの実行ファイル ParentCommandLine: 親プロセスのコマンドライン
1	セキュリティ	4688	プロセス作成	新しいプロセスが作成されました。 (検体のパス) サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメインサブジェクト > ログオンID: プロセスを実行したユーザーのセッションID プロセス情報 > 新しいプロセスID: プロセスID (16進数) プロセス情報 > 新しいプロセス名: 実行ファイルのパス (検体のパス) プロセス情報 > トークン昇格の種類: 権限昇格の有無 (1) プロセス情報 > 必須ラベル: 権限昇格の要否プロセス情報 > 作成元プロセスID: 新プロセスを作成した親プロセスのプロセスID。Windows 7では「クリエイタープロセスID」プロセス情報 > 作成元プロセス名: 新プロセスを作成した親プロセスのパスログの日時: プロセス実行日時 (ローカル時刻)
2	Microsoft-Windows-Sysmon/Operational	11	File created (rule: FileCreate)	File created. ProcessGuid/ProcessId: プロセスID Image: 実行ファイルのパス (検体のパス) TargetFilename: 作成されたファイル (C:\Users\[ユーザー名]\AppData\Local\Temp\wceaux.dll) CreationUtcTime: ファイル作成日時 (UTC)
	セキュリティ	4656	ファイルシステム / その他のオブジェクトアクセスイベント	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメインサブジェクト > ログオンID: プロセスを実行したユーザーのセッションID オブジェクト > オブジェクトの種類: ファイルの種類 (File) オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Temp\wceaux.dll) オブジェクト > ハンドルID: 当該ハンドルの識別ID プロセス情報 > プロセスID: プロセスID (16進数) プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (検体のパス) アクセス要求情報 > アクセス/アクセス理由/アクセスマスク: 要求された権限
	セキュリティ	4663	ファイルシステム	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメインサブジェクト > ログオンID: プロセスを実行したユーザーのセッションID オブジェクト > オブジェクトの種類: 対象の区分 (File) オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Temp\wceaux.dll) オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル) プロセス情報 > プロセスID: プロセスID (16進数) プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (検体のパス) アクセス要求情報 > アクセス/アクセス理由/アクセスマスク: 要求された権限 (WriteDataまたはAddFile) 成功の監査: 成否 (アクセス成功)
	セキュリティ	4658	ファイルシステム	オブジェクトに対するハンドルが閉じました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメインサブジェクト > ログオンID: プロセスを実行したユーザーのセッションID オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル) プロセス情報 > プロセスID: プロセスID (16進数) プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (検体のパス)
3	Microsoft-Windows-Sysmon/Operational	10	Process accessed (rule: ProcessAccess)	Process accessed. SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID SourceImage: アクセス元プロセスのパス (検体のパス) TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID TargetImage: アクセス先プロセスのパス (C:\Windows\system32\lsass.exe) GrantedAccess: 許可されたアクセスの内容
	Microsoft-Windows-Sysmon/Operational	8	CreateRemoteThread detected (rule: CreateRemoteThread)	CreateRemoteThread detected. UtcTime: 実行日時 (UTC) SourceProcessGuid/SourceProcessId: 作成元プロセスのプロセスID SourceImage: 作成元プロセスのパス (検体のパス) TargetProcessGuid/TargetProcessId: 作成先プロセスのプロセスID TargetImage: 作成先プロセスのパス (C:\Windows\System32\lsass.exe) NewThreadId: 新規スレッドのスレッドID
	Microsoft-Windows-Sysmon/Operational	10	Process accessed (rule: ProcessAccess)	Process accessed. SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID SourceImage: アクセス元プロセスのパス (検体のパス) TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID TargetImage: アクセス先プロセスのパス (C:\Windows\system32\lsass.exe) GrantedAccess: 許可されたアクセスの内容
4	セキュリティ	4656	ファイルシステム / その他のオブジェクトアクセスイベント	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメインサブジェクト > ログオンID: プロセスを実行したユーザーのセッションID オブジェクト > オブジェクトの種類: ファイルの種類 (File) オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Temp\wceaux.dll) オブジェクト > ハンドルID: 当該ハンドルの識別ID プロセス情報 > プロセスID: プロセスID (16進数) プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (検体のパス) アクセス要求情報 > アクセス/アクセス理由/アクセスマスク: 要求された権限 (DELETEを含む)
	セキュリティ	4663	ファイルシステム	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメインサブジェクト > ログオンID: プロセスを実行したユーザーのセッションID オブジェクト > オブジェクトの種類: 対象の区分 (File) オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Temp\wceaux.dll) オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル) プロセス情報 > プロセスID: プロセスID (16進数) プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (検体のパス) アクセス要求情報 > アクセス/アクセス理由/アクセスマスク: 要求された権限 (DELETE) 成功の監査: 成否 (アクセス成功)
	セキュリティ	4660	ファイルシステム	オブジェクトが削除されました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメインサブジェクト > ログオンID: プロセスを実行したユーザーのセッションID オブジェクト > オブジェクト名: 対象のファイル名オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル) プロセス情報 > プロセスID: プロセスID (16進数) プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (検体のパス) アクセス要求情報 > アクセス: 要求された権限成功の監査: 成否 (アクセス成功)
	セキュリティ	4658	ファイルシステム	オブジェクトに対するハンドルが閉じました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメインサブジェクト > ログオンID: プロセスを実行したユーザーのセッションID オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル) プロセス情報 > プロセスID: プロセスID (16進数) プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (検体のパス)
6	Microsoft-Windows-Sysmon/Operational	5	Process terminated (rule: ProcessTerminate)	Process terminated. UtcTime: プロセス終了日時 (UTC) ProcessGuid/ProcessId: プロセスID Image: 実行ファイルのパス (検体のパス)
6	セキュリティ	4689	プロセス終了	プロセスが終了しました。ログの日時: プロセス終了日時 (ローカル時刻) サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメインサブジェクト > ログオンID: プロセスを実行したユーザーのセッションID プロセス情報 > プロセスID: プロセスID (16進数) プロセス情報 > プロセス名: 実行ファイルのパス (検体のパス) プロセス情報 > 終了状態: プロセスの戻り値

- MFT

#	パス	ヘッダフラグ	有効
1	[ドライブ名]:\Windows\Prefetch\[検体の実行ファイル名]-[文字列].pf	FILE	ALLOCATED

- Prefetch

#	Prefetchファイル	プロセス名	プロセスパス	ログから得られる情報
1	C:\Windows\Prefetch\[検体の実行ファイル名]-[文字列].pf	[検体の実行ファイル名]	[検体のパス]	Last Run Time (最終実行日時)

- USNジャーナル

#	ファイル名	処理	属性
1	wceaux.dll	FILE_CREATE	archive+not_indexed
	wceaux.dll	DATA_EXTEND+FILE_CREATE	archive+not_indexed
	wceaux.dll	CLOSE+DATA_EXTEND+FILE_CREATE	archive+not_indexed
2	wceaux.dll	DATA_OVERWRITE	archive+not_indexed
	wceaux.dll	CLOSE+DATA_OVERWRITE	archive+not_indexed
	wceaux.dll	CLOSE+FILE_DELETE	archive+not_indexed
3	[検体の実行ファイル名]-[文字列].pf	FILE_CREATE	archive+not_indexed
	[検体の実行ファイル名]-[文字列].pf	DATA_EXTEND+FILE_CREATE	archive+not_indexed
	[検体の実行ファイル名]-[文字列].pf	CLOSE+DATA_EXTEND+FILE_CREATE	archive+not_indexed

- 備考

Windows 10で異常終了した場合、イベントログ「アプリケーション」にイベントID: 1001 (APPCRASH) が記録される。また、クラッシュレポートが "C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_[検体名]_[文字列]"配下に作成される。このファイルが残されている場合、状況を調査出来る可能性がある。また、クラッシュレポートは一覧がレジストリ内にて管理されているため、"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Windows Error Reporting\Debug\StoreLocation"及び"HKEY_USERS\[ユーザーSID]\Software\Microsoft\Windows\Windows Error Reporting\Debug\StoreLocation"配下に"AppCrash_[検体名]_[文字列]"の記録が残る可能性がある。
Windows 10上で異常終了した場合、"C:\Users\[ユーザー名]\AppData\Local\Temp\wceaux.dll"が削除されずに残る可能性がある。また、削除された場合も、イベントログやUSNジャーナル上には記録が残る。