csvde

- 目次

全てのセクションを開く | 全てのセクションを閉じる


- ツール概要

カテゴリ
情報収集
説明
Active Directory上のアカウント情報をCSV形式で出力する。
攻撃時における想定利用例
Active Directoryからアカウント情報を収集し、攻撃対象として利用可能なユーザーやホストを選択する。

- ツール動作概要

項目 内容
サービス Active Directory Domain Services
権限 標準ユーザー
ドメインへの所属 不要
OS Windows Server
通信プロトコル 389/tcp

- ログから得られる情報

標準設定
  • ホスト
    • 実行履歴 (Prefetch)
追加設定
  • ホスト
    • アカウント情報を保存したCSVファイルが作成される (監査ポリシー, Sysmon, USNジャーナル)
    • CSVファイル作成時に、一時ファイルとして"C:\Users\[ユーザー名]\AppData\Local\Temp\csv[ランダムな16進値].tmp"が作成される (監査ポリシー, Sysmon, USNジャーナル)

- 実行成功時に確認できる痕跡

- 実行時に記録される主要な情報

- ドメインコントローラー

イベントログ

# ログ イベントID タスクのカテゴリ イベント内容
1 Microsoft-Windows-Sysmon/Operational 1 Process Create (rule: ProcessCreate) Process Create.
  • UtcTime: プロセス実行日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (検体のパス)
  • CommandLine: 実行コマンドのコマンドライン (検体のパス。"-f"オプションで出力ファイル名が分かる。また、フィルターを使用した場合はフィルター条件も分かる)
  • User: 実行ユーザー
2 セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Temp\csv[ランダムな16進値].tmp)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (検体のパス)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile、AppendData)
3 セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • オブジェクト > オブジェクト名: 対象のファイル名 (検体実行時に"-f"オプションで指定されたCSVファイル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (検体のパス)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile、AppendData)
4 セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • オブジェクト > オブジェクト名: 対象のファイル名 (本プロセス内で作成されたファイル C:\Users\[ユーザー名]\AppData\Local\Temp\csv[ランダムな16進値].tmp)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (検体のパス)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (DELETE)
5 セキュリティ 4660 ファイル システム オブジェクトが削除されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4663と同じ)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (検体のパス)

USNジャーナル

# ファイル名 処理
1 csv[ランダムな16進値].tmp FILE_CREATE
2 [検体実行時に"-f"オプションで指定されたCSVファイル] FILE_CREATE
3 csv[ランダムな16進値].tmp CLOSE+FILE_DELETE

- 詳細:ドメインコントローラー

- イベントログ

# イベントログ イベントID タスクのカテゴリ イベント内容
1 Microsoft-Windows-Sysmon/Operational 1 Process Create (rule: ProcessCreate) Process Create.
  • CommandLine: 実行コマンドのコマンドライン (検体のパス。"-f"オプションで出力ファイル名が分かる。また、フィルターを使用した場合はフィルター条件も分かる)
  • Hashes: 実行ファイルのハッシュ値
  • Image: 実行ファイルのパス (検体のパス)
  • LogonGuid/LogonId: ログオンセッションのID
  • ParentCommandLine: 親プロセスのコマンドライン
  • ParentImage: 親プロセスの実行ファイル
  • ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID
  • ProcessGuid/ProcessId: プロセスID
  • User: 実行ユーザー
  • UtcTime: プロセス実行日時 (UTC)
セキュリティ 4688 プロセス作成 新しいプロセスが作成されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > トークン昇格の種類: 権限昇格の有無 (1)
  • プロセス情報 > 新しいプロセスID: プロセスID (16進数)
  • プロセス情報 > 新しいプロセス名: 実行ファイルのパス (検体のパス)
  • プロセス情報 > 作成元プロセスID: 新プロセスを作成した親プロセスのプロセスID。Windows 7では「クリエイター プロセスID」
  • プロセス情報 > 作成元プロセス名: 新プロセスを作成した親プロセスのパス
  • プロセス情報 > 必須ラベル: 権限昇格の要否
  • ログの日時: プロセス実行日時 (ローカル時刻)
2 セキュリティ 5158 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (検体のパス)
  • ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
  • ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (検体のパス)
  • ネットワーク情報 > 方向: 通信方向 (送信)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (389)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
3 セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > 方向: 通信方向 (着信)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (389)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
Microsoft-Windows-Sysmon/Operational 10 Process accessed (rule: ProcessAccess) Process accessed.
  • SourceImage: アクセス元プロセスのパス (C:\Windows\system32\lsass.exe)
  • SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID
  • TargetImage: アクセス先プロセスのパス (検体のパス)
  • TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID
  • GrantedAccess: 許可されたアクセスの内容 (0x1478)
4 セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Temp\csv[ランダムな16進値].tmp)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (検体のパス)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile、AppendDataを含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Temp\csv[ランダムな16進値].tmp)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (検体のパス)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile、AppendData)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (検体のパス)
Microsoft-Windows-Sysmon/Operational 11 File created (rule: FileCreate) File created.
  • CreationUtcTime: ファイル作成日時 (UTC)
  • Image: 実行ファイルのパス (検体のパス)
  • ProcessGuid/ProcessId: プロセスID
  • TargetFilename: 作成されたファイル (C:\Users\[ユーザー名]\AppData\Local\Temp\csv[ランダムな16進値].tmp)
5 セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (検体実行時に"-f"オプションで指定されたCSVファイル)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile、AppendDataを含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (検体実行時に"-f"オプションで指定されたCSVファイル)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (検体のパス)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile、AppendData)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (検体のパス)
Microsoft-Windows-Sysmon/Operational 11 File created (rule: FileCreate) File created.
  • CreationUtcTime: ファイル作成日時 (UTC)
  • Image: 実行ファイルのパス (検体のパス)
  • ProcessGuid/ProcessId: プロセスID
  • TargetFilename: 作成されたファイル (検体実行時に"-f"オプションで指定されたCSVファイル)
6 セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (本プロセス内で作成されたファイル C:\Users\[ユーザー名]\AppData\Local\Temp\csv[ランダムな16進値].tmp)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (検体のパス)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (DELETE)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (本プロセス内で作成されたファイル C:\Users\[ユーザー名]\AppData\Local\Temp\csv[ランダムな16進値].tmp)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (検体のパス)
  • アクセス要求情報 > アクセス: 要求された権限 (DELETE)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4660 ファイル システム オブジェクトが削除されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (検体のパス)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (検体のパス)
7 セキュリティ 4689 プロセス終了 プロセスが終了しました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: 実行ファイルのパス (検体のパス)
Microsoft-Windows-Sysmon/Operational 5 Process terminated (rule: ProcessTerminate) Process terminated.
  • UtcTime: プロセス終了日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (検体のパス)

- MFT

# パス ヘッダフラグ 有効
1 [検体実行時に"-f"オプションで指定されたCSVファイル] FILE ALLOCATED

- USNジャーナル

# ファイル名 処理 属性
1 csv[ランダムな16進値].tmp FILE_CREATE archive
csv[ランダムな16進値].tmp CLOSE+FILE_CREATE archive
csv[ランダムな16進値].tmp DATA_TRUNCATION archive
csv[ランダムな16進値].tmp DATA_EXTEND+DATA_TRUNCATION archive
csv[ランダムな16進値].tmp CLOSE+DATA_EXTEND+DATA_TRUNCATION archive
2 [検体実行時に"-f"オプションで指定されたCSVファイル] FILE_CREATE archive
[検体実行時に"-f"オプションで指定されたCSVファイル] DATA_EXTEND+FILE_CREATE archive
[検体実行時に"-f"オプションで指定されたCSVファイル] CLOSE+DATA_EXTEND+FILE_CREATE archive
3 csv[ランダムな16進値].tmp CLOSE+FILE_DELETE archive

- 備考