lslsass

- 目次

全てのセクションを開く | 全てのセクションを閉じる

- ツール概要

カテゴリ
パスワード、ハッシュ入手
説明
lsassプロセスから、有効なログオンセッションのパスワードハッシュを取得する。
攻撃時における想定利用例
取得したパスワードハッシュ値を使用してリモートホストにログオンする。

- ツール動作概要

- 概要

項目 接続元
通信プロトコル -
権限 管理者ユーザー
ドメインへの所属 不要
サービス -
OS Windows
備考 -

- 動作確認環境

環境 動作可否
Windows 7 + Windows Server 2012 動作する
Windows 10 + Windows Server 2012 動作する
Windows 11 + Windows Server 2025 動作しない

- ログから得られる情報

標準設定
  • 接続元
    • Prefetch: 実行履歴
追加設定
  • 接続元
    • 監査ポリシー・Sysmon: 実行履歴
    • Sysmon: lsass.exeへのアクセス履歴

- 実行成功時に確認できる痕跡

- 実行時に記録される主要な情報

- 接続元

イベントログ

# ログ イベントID タスクのカテゴリ イベント内容
1 Microsoft-Windows-Sysmon/Operational 1 Process Create Process Create
  • UtcTime: [発生日時 (UTC)]
  • ProcessId: [プロセスID]
  • Image: [実行ファイルのパス]
  • CommandLine: [実行コマンドのコマンドライン]
  • User: [ユーザー名]
2 Microsoft-Windows-Sysmon/Operational 10 Process accessed Process accessed.
  • SourceProcessId: [アクセス元プロセスID]
  • SourceThreadId: [アクセス元スレッドID]
  • SourceImage: [実行ファイルのパス]
  • TargetProcessId: [アクセス先プロセスID]
  • TargetImage: C:\Windows\system32\lsass.exe
  • GrantedAccess: 0x1438
3 Security 4689 Process Termination プロセスが終了しました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
  • プロセス情報 > 終了状態: 0x0

Prefetch

# Prefetchファイル プロセス名 プロセスパス 備考
1 C:\Windows\Prefetch\[実行ファイル名]-[ハッシュ値].pf [実行ファイル名] \VOLUME{[GUID]}\[実行ファイルのパス]

MFT

# パス ヘッダフラグ 備考
1 C:\Windows\Prefetch\[実行ファイル名]-[ハッシュ値].pf FILE InUse

USNジャーナル

# ファイル名 処理 備考
1 [実行ファイル名]-[ハッシュ値].pf
  • DataExtend
  • FileCreate
  • Close
 Archive|NotContentIndexed

- 詳細情報

- 接続元

イベントログ

# ログ イベントID タスクのカテゴリ イベント内容
1 Microsoft-Windows-Sysmon/Operational 1 Process Create Process Create
  • UtcTime: [発生日時 (UTC)]
  • ProcessId: [プロセスID]
  • Image: [実行ファイルのパス]
  • CommandLine: [実行コマンドのコマンドライン]
  • CurrentDirectory: [作業ディレクトリ]
  • User: [ユーザー名]
  • LogonId: [ログオンID]
  • IntegrityLevel: [特権レベル]
  • Hashes: [実行ファイルのハッシュ値]
  • ParentProcessId: [親プロセスID]
  • ParentImage: [親プロセス実行ファイルのパス]
  • ParentCommandLine: [親プロセスのコマンドライン]
2 Security 4688 Process Creation 新しいプロセスが作成されました。
  • 作成元サブジェクト > セキュリティ ID: [ユーザーSID]
  • 作成元サブジェクト > アカウント名: [ユーザー名]
  • 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
  • 作成元サブジェクト > ログオン ID: [ログオンID]
  • プロセス情報 > トークン昇格の種類: TokenElevationTypeDefault(1)
  • プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスID]
  • プロセス情報 > 新しいプロセス名: [実行ファイルのパス]
  • プロセス情報 > 作成元プロセス ID: [親プロセスID]
3 Microsoft-Windows-Sysmon/Operational 10 Process accessed Process accessed.
  • SourceProcessId: [アクセス元プロセスID]
  • SourceThreadId: [アクセス元スレッドID]
  • SourceImage: [実行ファイルのパス]
  • TargetProcessId: [アクセス先プロセスID]
  • TargetImage: C:\Windows\system32\lsass.exe
  • GrantedAccess: 0x1438
4 Microsoft-Windows-Sysmon/Operational 5 Process terminated Process terminated.
  • UtcTime: [終了日時 (UTC)]
  • ProcessId: [プロセスID]
  • Image: [実行ファイルのパス]
5 Security 4689 Process Termination プロセスが終了しました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
  • プロセス情報 > 終了状態: 0x0
6 Microsoft-Windows-Sysmon/Operational 11 File created File created
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [プロセスID]
  • Image: [実行ファイルのパス]
  • TargetFilename: C:\Windows\Prefetch\[実行ファイル名]-[ハッシュ値].pf
  • CreationUtcTime: [ファイル作成日時(UTC)]
7 Security 4656 File System オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: C:\Windows\Prefetch\[実行ファイル名]-[ハッシュ値].pf
  • オブジェクト > ハンドル ID: [ハンドルID]
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
  • アクセス要求情報 > アクセス: WriteDataまたはAddFile, AppendDataを含む
8 Security 4663 File System オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: C:\Windows\Prefetch\[実行ファイル名]-[ハッシュ値].pf
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
  • アクセス要求情報 > アクセス: WriteDataまたはAddFile, AppendData
9 Security 4658 File System オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe

Prefetch

# Prefetchファイル プロセス名 プロセスパス 備考
1 C:\Windows\Prefetch\[実行ファイル名]-[文字列].pf [実行ファイル名] \VOLUME{[GUID]}\[実行ファイルのパス]

MFT

# パス ヘッダフラグ 備考
1 C:\Windows\Prefetch\[実行ファイル名]-[ハッシュ値].pf FILE InUse

USNジャーナル

# ファイル名 処理 備考
1 [実行ファイル名]-[ハッシュ値].pf
  • DataExtend
  • FileCreate
  • Close
 Archive|NotContentIndexed