gsecdump

- 目次

全てのセクションを開く | 全てのセクションを閉じる


- ツール概要

カテゴリ
パスワード、ハッシュ入手
説明
SAM/ADやログオンセッションから、パスワードハッシュを抽出する。
攻撃時における想定利用例
取得したパスワードハッシュ情報を用い、リモートホストに対してログオンする。

- ツール動作概要

項目 内容
OS Windows
権限 管理者ユーザー
ドメインへの所属 不要

- ログから得られる情報

標準設定
  • ホスト
    • 実行履歴 (Prefetch)
追加設定
  • ホスト
    • 実行履歴 (監査ポリシー, Sysmon)

- 実行成功時に確認できる痕跡

- 実行時に記録される主要な情報

- ホスト

イベントログ

# ログ イベントID タスクのカテゴリ イベント内容
1 Microsoft-Windows-Sysmon/Operational 1 Process Create (rule: ProcessCreate) Process Create.
  • UtcTime: プロセス実行日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (検体のパス)
  • CommandLine: 実行コマンドのコマンドライン (検体のコマンドライン)
  • User: 実行ユーザー
2 Microsoft-Windows-Sysmon/Operational 10 Process accessed (rule: ProcessAccess) Process accessed.
  • SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID
  • SourceImage: アクセス元プロセスのパス (検体のパス)
  • TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID
  • TargetImage: アクセス先プロセスのパス (C:\Windows\system32\lsass.exe, winlogon.exe, wininit.exe など、認証情報を扱う複数のシステムプロセス)
  • GrantedAccess: 許可されたアクセスの内容
3 セキュリティ 4689 プロセス終了 プロセスが終了しました。
  • ログの日時: プロセス終了日時 (ローカル時刻)
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: 実行ファイルのパス (検体のパス)
  • プロセス情報 > 終了状態: プロセスの戻り値 (0x0)

Prefetch


- 詳細:ホスト

- イベントログ

# イベントログ イベントID タスクのカテゴリ イベント内容
1 Microsoft-Windows-Sysmon/Operational 1 Process Create (rule: ProcessCreate) Process Create.
  • UtcTime: プロセス実行日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (検体のパス)
  • CommandLine: 実行コマンドのコマンドライン (検体のコマンドライン)
  • CurrentDirectory: 作業ディレクトリ
  • User: 実行ユーザー
  • LogonGuid/LogonId: ログオンセッションのID
  • Hashes: 実行ファイルのハッシュ値
  • ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID
  • ParentImage: 親プロセスの実行ファイル
  • ParentCommandLine: 親プロセスのコマンドライン
セキュリティ 4688 プロセス作成 新しいプロセスが作成されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > 新しいプロセスID: プロセスID (16進数)
  • プロセス情報 > 新しいプロセス名: 実行ファイルのパス (検体のパス)
  • プロセス情報 > トークン昇格の種類: 権限昇格の有無 (1)
  • プロセス情報 > 必須ラベル: 権限昇格の要否
  • プロセス情報 > 作成元プロセスID: 新プロセスを作成した親プロセスのプロセスID。Windows 7では「クリエイター プロセスID」
  • プロセス情報 > 作成元プロセス名: 新プロセスを作成した親プロセスのパス
  • ログの日時: プロセス実行日時 (ローカル時刻)
2 Microsoft-Windows-Sysmon/Operational 10 Process accessed (rule: ProcessAccess) Process accessed.
  • SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID
  • SourceImage: アクセス元プロセスのパス (検体のパス)
  • TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID
  • TargetImage: アクセス先プロセスのパス (C:\Windows\system32\SearchIndexer.exe)
  • GrantedAccess: 許可されたアクセスの内容
Microsoft-Windows-Sysmon/Operational 10 Process accessed (rule: ProcessAccess) Process accessed.
  • SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID
  • SourceImage: アクセス元プロセスのパス (検体のパス)
  • TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID
  • TargetImage: アクセス先プロセスのパス (C:\Windows\system32\smss.exe)
  • GrantedAccess: 許可されたアクセスの内容
Microsoft-Windows-Sysmon/Operational 10 Process accessed (rule: ProcessAccess) Process accessed.
  • SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID
  • SourceImage: アクセス元プロセスのパス (検体のパス)
  • TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID
  • TargetImage: アクセス先プロセスのパス (C:\Windows\system32\Dwm.exe)
  • GrantedAccess: 許可されたアクセスの内容
Microsoft-Windows-Sysmon/Operational 10 Process accessed (rule: ProcessAccess) Process accessed.
  • SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID
  • SourceImage: アクセス元プロセスのパス (検体のパス)
  • TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID
  • TargetImage: アクセス先プロセスのパス (C:\Windows\system32\csrss.exe)
  • GrantedAccess: 許可されたアクセスの内容
Microsoft-Windows-Sysmon/Operational 10 Process accessed (rule: ProcessAccess) Process accessed.
  • SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID
  • SourceImage: アクセス元プロセスのパス (検体のパス)
  • TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID
  • TargetImage: アクセス先プロセスのパス (C:\Windows\system32\wininit.exe)
  • GrantedAccess: 許可されたアクセスの内容
Microsoft-Windows-Sysmon/Operational 10 Process accessed (rule: ProcessAccess) Process accessed.
  • SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID
  • SourceImage: アクセス元プロセスのパス (検体のパス)
  • TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID
  • TargetImage: アクセス先プロセスのパス (C:\Windows\system32\winlogon.exe)
  • GrantedAccess: 許可されたアクセスの内容
Microsoft-Windows-Sysmon/Operational 10 Process accessed (rule: ProcessAccess) Process accessed.
  • SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID
  • SourceImage: アクセス元プロセスのパス (検体のパス)
  • TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID
  • TargetImage: アクセス先プロセスのパス (C:\Windows\system32\services.exe)
  • GrantedAccess: 許可されたアクセスの内容
Microsoft-Windows-Sysmon/Operational 10 Process accessed (rule: ProcessAccess) Process accessed.
  • SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID
  • SourceImage: アクセス元プロセスのパス (検体のパス)
  • TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID
  • TargetImage: アクセス先プロセスのパス (C:\Windows\system32\lsass.exe)
  • GrantedAccess: 許可されたアクセスの内容
3 Microsoft-Windows-Sysmon/Operational 5 Process terminated (rule: ProcessTerminate) Process terminated.
  • UtcTime: プロセス終了日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (検体のパス)
セキュリティ 4689 プロセス終了 プロセスが終了しました。
  • ログの日時: プロセス終了日時 (ローカル時刻)
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: 実行ファイルのパス (検体のパス)
  • プロセス情報 > 終了状態: プロセスの戻り値 (0x0)
4 Microsoft-Windows-Sysmon/Operational 11 File created (rule: FileCreate) File created.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\svchost.exe)
  • TargetFilename: 作成されたファイル (C:\Windows\Prefetch\[検体の実行ファイル名]-[文字列].pf)
  • CreationUtcTime: ファイル作成日時 (UTC)
セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\[検体のファイル名]-[文字列].pf)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile、AppendDataを含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\[検体のファイル名]-[文字列].pf)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile、AppendData)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\svchost.exe)

- MFT

# パス ヘッダフラグ 有効
1 [ドライブ名]:\Windows\Prefetch\[検体の実行ファイル名]-[文字列].pf FILE ALLOCATED

- Prefetch

# Prefetchファイル プロセス名 プロセスパス ログから得られる情報
1 C:\Windows\Prefetch\[検体の実行ファイル名]-[文字列].pf [検体の実行ファイル名] [検体のパス] Last Run Time (最終実行日時)

- USNジャーナル

# ファイル名 処理 属性
1 [検体の実行ファイル名]-[文字列].pf FILE_CREATE archive+not_indexed
[検体の実行ファイル名]-[文字列].pf DATA_EXTEND+FILE_CREATE archive+not_indexed
[検体の実行ファイル名]-[文字列].pf CLOSE+DATA_EXTEND+FILE_CREATE archive+not_indexed