WCE

- 目次

ツール概要
ツール動作概要
ログから得られる情報
実行成功時に確認できる痕跡
実行時に記録される主要な情報
詳細情報: 接続元
備考

全てのセクションを開く | 全てのセクションを閉じる

- ツール概要

カテゴリ: パスワード、ハッシュ入手
説明: ホストのメモリ内に存在する、パスワードハッシュを取得する。
攻撃時における想定利用例: 取得したパスワードハッシュを用いて、pass-the-hashなどの攻撃を行う。

- ツール動作概要

- 概要

項目	接続元
通信プロトコル	-
権限	Admin
ドメインへの所属	不要
サービス	-
OS	Windows 7 32ビット版
備考	-

- 動作確認環境

環境	動作可否
Windows 7 + Windows Server 2012	動作する
Windows 10 + Windows Server 2012	動作する
Windows 11 + Windows Server 2025	動作しない

- ログから得られる情報

標準設定

接続元
- Prefetch: 実行履歴
- 監査ポリシー・USNジャーナル: 一時ファイル(wceaux.dll)の作成

追加設定

接続元
- 監査ポリシー・Sysmon: 実行履歴
- Sysmon: WCEによるlsass.exeの参照
- 監査ポリシー: ファイルの作成・削除

- 実行成功時に確認できる痕跡

接続元
- C:\Users\[ユーザー名]\AppData\Local\Temp\wceaux.dllファイルが作成、削除されている

- 実行時に記録される主要な情報

- 接続元

イベントログ

#	ログ	イベントID	タスクのカテゴリ	イベント内容
1	Microsoft-Windows-Sysmon/Operational	1	Process Create	Process Create UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: [実行ファイルのパス] CommandLine: [実行ファイルのパス] -w CurrentDirectory: [作業ディレクトリ] User: [実行ユーザー]
2	Security	4663	ファイルシステム	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] オブジェクト > オブジェクト名: C:\Users\[ユーザー名]\AppData\Local\Temp\wceaux.dll アクセス要求情報 > アクセス: WriteData (or AddFile) プロセス情報 > プロセス名: [実行ファイルのパス]
3	Microsoft-Windows-Sysmon/Operational	10	Process accessed	Process accessed. SourceProcessId: [アクセス元プロセスID] SourceThreadId: [アクセス元スレッドID] SourceImage: [実行ファイルのパス] TargetProcessId: [アクセス先プロセスID] TargetImage: C:\Windows\system32\lsass.exe
4	Microsoft-Windows-Sysmon/Operational	8	CreateRemoteThread detected	CreateRemoteThread detected UtcTime: [発生日時(UTC)] SourceProcessId: [作成元プロセスID] SourceImage: [実行ファイルのパス] TargeProcessId: [作成先プロセスID] TargetImage: C:\Windows\System32\lsass.exe NewThreadId: [新規スレッドのスレッドID]
5	Security	4663	ファイルシステム	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [プロセスを実行したユーザーのセッションID] オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: C:\Users\[ユーザー名]\AppData\Local\Temp\wceaux.dll オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドルID] アクセス要求情報 > アクセス: DELETE プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]

Prefetch

#	Prefetchファイル	プロセス名	プロセスパス	備考
1	C:\Windows\Prefetch\[実行ファイル名]-[文字列].pf	[実行ファイル名]	[実行ファイルのパス]

USNジャーナル

#	ファイル名	処理	備考
1	wceaux.dll	CLOSE+FILE_DELETE

- 詳細情報

- 接続元

イベントログ

#	ログ	イベントID	タスクのカテゴリ	イベント内容
1	Microsoft-Windows-Sysmon/Operational	1	Process Create	Process Create UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: [実行ファイルのパス] CommandLine: [実行ファイルのパス] -w CurrentDirectory: [作業ディレクトリ] User: [実行ユーザー] LogonId: [ログオンID] IntegrityLevel: High Hashes: [実行ファイルのハッシュ値] ParentProcessId: [親プロセスID] ParentImage: [親プロセスの実行ファイル] ParentCommandLine: [親プロセスのコマンドライン]
2	Security	4688	プロセス作成	新しいプロセスが作成されました。作成元サブジェクト > セキュリティ ID: [ユーザーSID] 作成元サブジェクト > アカウント名: [ユーザー名] 作成元サブジェクト > アカウントドメイン: [ドメイン名] 作成元サブジェクト > ログオン ID: [プロセスを実行したユーザーのセッションID] プロセス情報 > 新しいプロセス ID: [実行プロセスID] プロセス情報 > 新しいプロセス名: [実行ファイルのパス] プロセス情報 > トークン昇格の種類: TokenElevationTypeDefault(1) プロセス情報 > 作成元プロセス ID: [新プロセスを作成した親プロセスのプロセスID] プロセス情報 > 作成元プロセス名: [新プロセスを作成した親プロセスのパス]
3	Microsoft-Windows-Sysmon/Operational	11	File created	File created ProcessId: [実行プロセスID] Image: [実行ファイルのパス] TargetFilename: C:\Users\[ユーザー名]\AppData\Local\Temp\wceaux.dll CreationUtcTime: [ファイル作成日時(UTC)]
4	Security	4656	ファイルシステム / その他のオブジェクトアクセスイベント	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [プロセスを実行したユーザーのセッションID] オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: C:\Users\[ユーザー名]\AppData\Local\Temp\wceaux.dll オブジェクト > ハンドル ID: [ハンドルID] プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
5	Security	4663	ファイルシステム	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [プロセスを実行したユーザーのセッションID] オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: C:\Users\[ユーザー名]\AppData\Local\Temp\wceaux.dll オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドルID] アクセス要求情報 > アクセス: WriteData (or AddFile) プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
6	Security	4658	ファイルシステム	オブジェクトに対するハンドルが閉じました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [プロセスを実行したユーザーのセッションID] オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドルID] プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
7	Microsoft-Windows-Sysmon/Operational	10	Process accessed	Process accessed. SourceProcessId: [アクセス元プロセスID] SourceThreadId: [アクセス元スレッドID] SourceImage: [実行ファイルのパス] TargetProcessId: [アクセス先プロセスID] TargetImage: C:\Windows\system32\lsass.exe
8	Microsoft-Windows-Sysmon/Operational	8	CreateRemoteThread detected	CreateRemoteThread detected UtcTime: [発生日時(UTC)] SourceProcessId: [作成元プロセスID] SourceImage: [実行ファイルのパス] TargeProcessId: [作成先プロセスID] TargetImage: C:\Windows\System32\lsass.exe NewThreadId: [新規スレッドのスレッドID]
9	Microsoft-Windows-Sysmon/Operational	10	Process accessed	Process accessed. SourceProcessId: [アクセス元プロセスID] SourceThreadId: [アクセス元スレッドID] SourceImage: [実行ファイルのパス] TargetProcessId: [アクセス先プロセスID] TargetImage: C:\Windows\system32\lsass.exe
10	Security	4656	ファイルシステム / その他のオブジェクトアクセスイベント	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [プロセスを実行したユーザーのセッションID] オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: C:\Users\[ユーザー名]\AppData\Local\Temp\wceaux.dll オブジェクト > ハンドル ID: [ハンドルID] アクセス要求情報 > アクセス: DELETEを含むプロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
11	Security	4663	ファイルシステム	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [プロセスを実行したユーザーのセッションID] オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: C:\Users\[ユーザー名]\AppData\Local\Temp\wceaux.dll オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドルID] アクセス要求情報 > アクセス: DELETE プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
12	Security	4660	ファイルシステム	オブジェクトが削除されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [プロセスを実行したユーザーのセッションID] ObjectName: [対象のファイル名] オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドルID] プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
13	Security	4658	ファイルシステム	オブジェクトに対するハンドルが閉じました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [プロセスを実行したユーザーのセッションID] オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドルID] プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
14	Microsoft-Windows-Sysmon/Operational	5	Process terminated	Process terminated. UtcTime: [プロセス終了日時 (UTC)] ProcessId: [実行プロセスID] Image: [実行ファイルのパス]
15	Security	4689	プロセス終了	プロセスが終了しました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] プロセス情報 > 終了状態: 0x1 プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]

Prefetch

#	Prefetchファイル	プロセス名	プロセスパス	備考
1	C:\Windows\Prefetch\[実行ファイル名]-[文字列].pf	[実行ファイル名]	[実行ファイルのパス]

MFT

#	パス	ヘッダフラグ	備考
1	[ドライブ名]:\Windows\Prefetch\[実行ファイル名]-[文字列].pf	FILE	ALLOCATED

USNジャーナル

#	ファイル名	処理	備考
1	wceaux.dll	FILE_CREATE DATA_EXTEND+FILE_CREATE CLOSE+DATA_EXTEND+FILE_CREATE	archive+not_indexed
2	wceaux.dll	DATA_OVERWRITE CLOSE+DATA_OVERWRITE CLOSE+FILE_DELETE	archive+not_indexed
3	[実行ファイル名]-[文字列].pf	FILE_CREATE DATA_EXTEND+FILE_CREATE CLOSE+DATA_EXTEND+FILE_CREATE	archive+not_indexed

- 備考

Windows 10で異常終了した場合、イベントログ「アプリケーション」にイベントID: 1001 (APPCRASH) が記録される。また、クラッシュレポートが "C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_[検体名]_[文字列]"配下に作成される。このファイルが残されている場合、状況を調査出来る可能性がある。また、クラッシュレポートは一覧がレジストリ内にて管理されているため、"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Windows Error Reporting\Debug\StoreLocation"及び"HKEY_USERS\[ユーザーSID]\Software\Microsoft\Windows\Windows Error Reporting\Debug\StoreLocation"配下に"AppCrash_[検体名]_[文字列]"の記録が残る可能性がある
Windows 10上で異常終了した場合、"C:\Users\[ユーザー名]\AppData\Local\Temp\wceaux.dll"が削除されずに残る可能性がある。また、削除された場合も、イベントログやUSNジャーナル上には記録が残る