NtlmRelayX

• 445/tcp

• 445/tcp

• 作成元サブジェクト > セキュリティ ID: [ユーザーSID]
• 作成元サブジェクト > アカウント名: [ユーザー名]
• 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
• プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID]
• プロセス情報 > 新しいプロセス名: [Python実行ファイルのパス]
• プロセス情報 > トークン昇格の種類: TokenElevationTypeDefault(1)
• プロセス情報 > プロセスのコマンド ライン: [Python実行ファイルのパス] [ntlmrelayx.pyのパス] [コマンドライン]
• プロセス情報 > 作成元プロセス ID: [親プロセスID]
• プロセス情報 > 作成元プロセス名: [親プロセスのパス]

実行コマンドはntlmrelayx.py -t smb://[接続先IPアドレス] -smb2support --no-rpc-server -i

• アプリケーション情報 > プロセス ID: [実行プロセスID]
• アプリケーション情報 > アプリケーション名: [Python実行ファイルのパス]
• ネットワーク情報 > ソース ポート: 80, 445, 5985, 5986, 6666, 9389
• ネットワーク情報 > プロトコル: 6 (TCP)

ntlmrelayxの待ち受けポート番号であり、ポート毎にイベントが記録される。本検証ではWindowsのRPCポートとの競合回避のため、--no-rpc-serverオプションを実行しており、135の待ち受けは発生しない。

• アプリケーション情報 > プロセス ID: [実行プロセスID]
• アプリケーション情報 > アプリケーション名: [Python実行ファイルのパス]
• ネットワーク情報 > 方向: 着信
• ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
• ネットワーク情報 > ソース ポート: [接続元ポート番号]
• ネットワーク情報 > 宛先アドレス: [NTLMリレーサーバーIPアドレス]
• ネットワーク情報 > 宛先ポート: 445
• ネットワーク情報 > プロトコル: 6 (TCP)

• アプリケーション情報 > プロセス ID: [実行プロセスID]
• アプリケーション情報 > アプリケーション名: [Python実行ファイルのパス]
• ネットワーク情報 > 方向: 送信
• ネットワーク情報 > 送信元アドレス: [NTLMリレーサーバーIPアドレス]
• ネットワーク情報 > ソース ポート: [接続元ポート番号]
• ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
• ネットワーク情報 > 宛先ポート: 445
• ネットワーク情報 > プロトコル: 6 (TCP)

• アプリケーション情報 > プロセス ID: [実行プロセスID]
• アプリケーション情報 > アプリケーション名: [Python実行ファイルのパス]
• ネットワーク情報 > 送信元アドレス: 127.0.0.1
• ネットワーク情報 > ソース ポート: [バインドされたローカルポート]
• ネットワーク情報 > プロトコル: 6 (TCP)

対話用のShellのリッスン

• UtcTime: [発生日時(UTC)]
• ProcessId: [プロセスID]
• Image: C:\Windows\System32\telnet.exe
• FileVersion・Description・Product・Company・OriginalFileName: [実行ファイルのメタデータ]
• CommandLine: C:\WINDOWS\system32\telnet.exe 127.0.0.1 11000
• CurrentDirectory: [作業ディレクトリ]
• User: [ドメイン名]\[ユーザー名]
• LogonId: [ログオンID]
• IntegrityLevel: Medium
• Hashes: [実行ファイルのハッシュ値]
• ParentProcessId: [親プロセスID]
• ParentImage: [親実行ファイルのパス]
• ParentCommandLine: [親プロセスのコマンドライン]
• ParentUser: [親プロセスの実行ユーザ]

NTLMリレー成功後、telnetで対話用のShellへのアクセスした際のログ。

• UtcTime: [発生日時(UTC)]
• ProcessId: [プロセスID]
• Image: C:\WINDOWS\system32\telnet.exe
• User: [ドメイン名]\[ユーザー名]
• Protocol: tcp
• Initiated: True
• SourceIp: 127.0.0.1
• SourceHostname: [NTLMリレーサーバーホスト名]
• SourcePort: [接続元ポート番号]
• DestinationIp: 127.0.0.1
• DestinationHostname: [NTLMリレーサーバーホスト名]
• DestinationPort: 11000

• UtcTime: [発生日時(UTC)]
• ProcessId: [実行プロセスID]
• Image: [Python実行ファイルのパス]
• User: [ドメイン名]\[ユーザー名]
• Protocol: tcp
• Initiated: False
• SourceIp: 127.0.0.1
• SourceHostname: [NTLMリレーサーバーホスト名]
• SourcePort: [接続元ポート番号]
• DestinationIp: 127.0.0.1
• DestinationHostname: [NTLMリレーサーバーホスト名]
• DestinationPort: 11000

• DataExtend+FileCreate+Close

• アプリケーション情報 > アプリケーション名: System
• ネットワーク情報 > 方向: 送信
• ネットワーク情報 > 送信元アドレス: [NTLMリレーサーバーIPアドレス]
• ネットワーク情報 > ソース ポート: [接続元ポート番号]
• ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
• ネットワーク情報 > 宛先ポート: 445
• ネットワーク情報 > プロトコル: 6 (TCP)

• 認証パッケージ: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
• ログオン アカウント: [ユーザー名]
• ソース ワークステーション: [接続元ホスト名]
• エラー コード: 0x0

接続元ホスト名はNTLM認証元のホスト名。

• サブジェクト > セキュリティ ID: S-1-0-0
• サブジェクト > アカウント名: -
• サブジェクト > アカウント ドメイン: -
• 新しいログオン > セキュリティ ID: [ユーザーSID]
• 新しいログオン > アカウント名: [ユーザー名]
• 新しいログオン > アカウント名: [ドメイン名]
• ログオン情報 > ログオン タイプ: 3
• 詳細な認証情報 > ログオン プロセス: NtLmSsp
• 詳細な認証情報 > 認証パッケージ: NTLM
• ネットワーク情報 > ソースワークステーション名: [接続元ホスト名]
• プロセス情報 > プロセス名: [実行ファイルのパス]
• ネットワーク情報 > ソース ネットワーク アドレス: [NTLMリレーサーバーIPアドレス]
• ネットワーク情報 > ソース ポート: [接続元ポート番号]
• 偽装レベル: 偽装
• ログオン情報 > 昇格されたトークン: True

接続元ホスト名はNTLM認証元のホスト名。

• UtcTime: [発生日時(UTC)]
• ProcessId: [プロセスID]
• Image: System
• User: NT AUTHORITY\SYSTEM
• Protocol: tcp
• Initiated: false
• SourceIp: [NTLMリレーサーバーIPアドレス]
• SourceHostname: [NTLMリレーサーバーホスト名]
• SourcePort: [接続元ポート番号]
• DestinationIp: [接続先IPアドレス]
• DestinationHostname: [接続先ホスト名]
• DestinationPort: [接続先ポート番号]

• サブジェクト > セキュリティ ID: [ユーザーSID]
• サブジェクト > アカウント名: [ユーザー名]
• サブジェクト > アカウント ドメイン: [ドメイン名]
• オブジェクト情報 > オブジェクトの種類: File
• オブジェクト情報 > 送信元アドレス: [NTLMリレーサーバーIPアドレス]
• オブジェクト情報 > ソース ポート: [接続元ポート番号]
• 共有情報 > 共有名: \\*\IPC$
• 共有情報 > 共有パス: -
• アクセス要求情報 > アクセス: ReadDataまたはListDirectory

• 作成元サブジェクト > セキュリティ ID: [ユーザーSID]
• 作成元サブジェクト > アカウント名: [ユーザー名]
• 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
• プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID]
• プロセス情報 > 新しいプロセス名: [Python実行ファイルのパス]
• プロセス情報 > トークン昇格の種類: TokenElevationTypeDefault(1)
• プロセス情報 > プロセスのコマンド ライン: [Python実行ファイルのパス] [ntlmrelayx.pyのパス] [コマンドライン]
• プロセス情報 > 作成元プロセス ID: [親プロセスID]
• プロセス情報 > 作成元プロセス名: [親プロセスのパス]

実行コマンドはntlmrelayx.py -t smb://[接続先IPアドレス] -smb2support --no-rpc-server -i

• サブジェクト > セキュリティ ID: [ユーザーSID]
• サブジェクト > アカウント名: [ユーザー名]
• サブジェクト > アカウント ドメイン: [ドメイン名]
• サービス > サーバー: Security
• サービス要求情報 > 特権: SeProfileSingleProcessPrivilege
• プロセス情報 > プロセス ID: [実行プロセスID]
• プロセス情報 > プロセス名: [Python実行ファイルのパス]

• UtcTime: [発生日時(UTC)]
• ProcessId: [実行プロセスID]
• Image: [Python実行ファイルのパス]
• FileVersion・Description・Product・Company・OriginalFileName: [Pythonの実行ファイルのメタデータ]
• CommandLine: [Python実行ファイルのパス] [ntlmrelayx.pyのパス] [コマンドライン]
• CurrentDirectory: [作業ディレクトリ]
• User: [ドメイン名]\[ユーザー名]
• LogonId: [ログオンID]
• IntegrityLevel: system
• Hashes: [実行ファイルのハッシュ値]
• ParentProcessId: [親プロセスID]
• ParentImage: [親実行ファイルのパス]
• ParentCommandLine: [親プロセスのコマンドライン]
• ParentUser: [親プロセスの実行ユーザ]

実行コマンドはntlmrelayx.py -t smb://[接続先IPアドレス] -smb2support --no-rpc-server -i

• EventType: CreatePipe
• UtcTime: [発生日時(UTC)]
• ProcessId: [実行プロセスID]
• PipeName: <Anonymous Pipe>
• Image: [Python実行ファイルのパス]
• User: [ドメイン名]\[ユーザー名]

• UtcTime: [発生日時(UTC)]
• PipeName: <Anonymous Pipe>
• Image: [Python実行ファイルのパス]
• User: [ドメイン名]\[ユーザー名]

• アプリケーション情報 > プロセス ID: [実行プロセスID]
• アプリケーション情報 > アプリケーション名: [Python実行ファイルのパス]
• ネットワーク情報 > 送信元アドレス: 127.0.0.1
• ネットワーク情報 > ソース ポート: 80, 445, 5985, 5986, 6666, 9389
• ネットワーク情報 > プロトコル: 6 (TCP)

ntlmrelayxの待ち受けポート番号であり、ポート毎にイベントが記録される。本検証ではWindowsのRPCポートとの競合回避のため、--no-rpc-serverオプションを実行しており、135の待ち受けは発生しない。

• アプリケーション情報 > プロセス ID: [実行プロセスID]
• アプリケーション情報 > アプリケーション名: [Python実行ファイルのパス]
• ネットワーク情報 > 送信元アドレス: 0.0.0.0
• ネットワーク情報 > ソース ポート: 80, 445, 5985, 5986, 6666, 9389
• ネットワーク情報 > プロトコル: 6 (TCP)

ntlmrelayxの待ち受けポート番号であり、ポート毎にイベントが記録される。本検証ではWindowsのRPCポートとの競合回避のため、--no-rpc-serverオプションを実行しており、135の待ち受けは発生しない。

• UtcTime: [発生日時(UTC)]
• ProcessId: [実行プロセスID]
• Image: [Python実行ファイルのパス]
• TargetFilename: C:\Users\[ユーザー名]\AppData\Local\Temp\[文字列]
• CreationUtcTime: [ファイル作成日時(UTC)]
• User: [ドメイン名]\[ユーザー名]

• サブジェクト > セキュリティ ID: [ユーザーSID]
• サブジェクト > アカウント名: [ユーザー名]
• サブジェクト > アカウント ドメイン: [ドメイン名]
• オブジェクト > オブジェクト サーバー: Security
• オブジェクト > オブジェクトの種類: File
• オブジェクト > オブジェクト名: C:\Users\domuser\AppData\Local\Temp\[文字列]
• オブジェクト > ハンドル ID: [ハンドルID]
• アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, ReadData (または ListDirectory), WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), ReadEA, WriteEA, ReadAttributes, WriteAttributes
• プロセス情報 > プロセス ID: [実行プロセスID]
• プロセス情報 > プロセス名: [Python実行ファイルのパス]

• サブジェクト > セキュリティ ID: [ユーザーSID]
• サブジェクト > アカウント名: [ユーザー名]
• サブジェクト > アカウント ドメイン: [ドメイン名]
• オブジェクト > オブジェクト サーバー: Security
• オブジェクト > オブジェクトの種類: File
• オブジェクト > オブジェクト名: C:\Users\domuser\AppData\Local\Temp\[文字列]
• オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
• アクセス要求情報 > アクセス: WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance)
• プロセス情報 > プロセス ID: [実行プロセスID]
• プロセス情報 > プロセス名: [Python実行ファイルのパス]

• サブジェクト > セキュリティ ID: [ユーザーSID]
• サブジェクト > アカウント名: [ユーザー名]
• サブジェクト > アカウント ドメイン: [ドメイン名]
• オブジェクト > オブジェクト サーバー: Security
• プロセス情報 > プロセス ID: [実行プロセスID]
• プロセス情報 > プロセス名: [Python実行ファイルのパス]

• User: [ドメイン名\ユーザー名]
• Image: [Python実行ファイルのパス]
• TargetFilename: C:\Users\[ユーザー名]\AppData\Local\Temp\[文字列]
• Hashes: [ファイルのハッシュ値]
• IsExecutable: False
• Archived: False

• サブジェクト > セキュリティ ID: [ユーザーSID]
• サブジェクト > アカウント名: [ユーザー名]
• サブジェクト > アカウント ドメイン: [ドメイン名]
• オブジェクト > オブジェクト サーバー: Security
• オブジェクト > オブジェクトの種類: File
• オブジェクト > オブジェクト名: C:\Users\domuser\AppData\Local\Temp\[文字列]
• オブジェクト > ハンドル ID: [ハンドルID]
• アクセス要求情報 > アクセス: DELETE, ReadAttributes
• プロセス情報 > プロセス ID: [実行プロセスID]
• プロセス情報 > プロセス名: [Python実行ファイルのパス]

• サブジェクト > セキュリティ ID: [ユーザーSID]
• サブジェクト > アカウント名: [ユーザー名]
• サブジェクト > アカウント ドメイン: [ドメイン名]
• オブジェクト > オブジェクト サーバー: Security
• オブジェクト > オブジェクトの種類: File
• オブジェクト > オブジェクト名: C:\Users\domuser\AppData\Local\Temp\[文字列]
• オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
• アクセス要求情報 > アクセス: DELETE
• プロセス情報 > プロセス ID: [実行プロセスID]
• プロセス情報 > プロセス名: [Python実行ファイルのパス]

• サブジェクト > セキュリティ ID: [ユーザーSID]
• サブジェクト > アカウント名: [ユーザー名]
• サブジェクト > アカウント ドメイン: [ドメイン名]
• オブジェクト > オブジェクト サーバー: Security
• プロセス情報 > プロセス ID: [実行プロセスID]
• プロセス情報 > プロセス名: [Python実行ファイルのパス]

• サブジェクト > セキュリティ ID: [ユーザーSID]
• サブジェクト > アカウント名: [ユーザー名]
• サブジェクト > アカウント ドメイン: [ドメイン名]
• オブジェクト > オブジェクト サーバー: Security
• プロセス情報 > プロセス ID: [実行プロセスID]
• プロセス情報 > プロセス名: [Python実行ファイルのパス]

• UtcTime: [発生日時(UTC)]
• ProcessId: [実行プロセスID]
• Image: [Python実行ファイルのパス]
• TargetFilename: C:\Users\[ユーザー名]\AppData\Local\Temp\[文字列]
• CreationUtcTime: [ファイル作成日時(UTC)]
• User: [ドメイン名]\[ユーザー名]

• サブジェクト > セキュリティ ID: [ユーザーSID]
• サブジェクト > アカウント名: [ユーザー名]
• サブジェクト > アカウント ドメイン: [ドメイン名]
• オブジェクト > オブジェクト サーバー: Security
• オブジェクト > オブジェクトの種類: File
• オブジェクト > オブジェクト名: C:\Users\domuser\AppData\Local\Temp\[文字列]
• オブジェクト > ハンドル ID: [ハンドルID]
• アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, ReadData (または ListDirectory), WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), ReadEA, WriteEA, ReadAttributes, WriteAttributes
• プロセス情報 > プロセス ID: [実行プロセスID]
• プロセス情報 > プロセス名: [Python実行ファイルのパス]

• サブジェクト > セキュリティ ID: [ユーザーSID]
• サブジェクト > アカウント名: [ユーザー名]
• サブジェクト > アカウント ドメイン: [ドメイン名]
• オブジェクト > オブジェクト サーバー: Security
• オブジェクト > オブジェクトの種類: File
• オブジェクト > オブジェクト名: C:\Users\domuser\AppData\Local\Temp\[文字列]
• オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
• アクセス要求情報 > アクセス: WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance)
• プロセス情報 > プロセス ID: [実行プロセスID]
• プロセス情報 > プロセス名: [Python実行ファイルのパス]

• サブジェクト > セキュリティ ID: [ユーザーSID]
• サブジェクト > アカウント名: [ユーザー名]
• サブジェクト > アカウント ドメイン: [ドメイン名]
• オブジェクト > オブジェクト サーバー: Security
• オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
• プロセス情報 > プロセス ID: [実行プロセスID]
• プロセス情報 > プロセス名: [Python実行ファイルのパス]

• UtcTime: [発生日時(UTC)]
• ProcessId: [実行プロセスID]
• Image: [Python実行ファイルのパス]
• TargetFilename: C:\Users\[ユーザー名]\AppData\Local\Temp\[文字列]
• CreationUtcTime: [ファイル作成日時(UTC)]
• User: [ドメイン名]\[ユーザー名]

• サブジェクト > セキュリティ ID: [ユーザーSID]
• サブジェクト > アカウント名: [ユーザー名]
• サブジェクト > アカウント ドメイン: [ドメイン名]
• オブジェクト > オブジェクト サーバー: Security
• オブジェクト > オブジェクトの種類: File
• オブジェクト > オブジェクト名: C:\Users\domuser\AppData\Local\Temp\[文字列]
• オブジェクト > ハンドル ID: [ハンドルID]
• アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, ReadData (または ListDirectory), WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), ReadEA, WriteEA, ReadAttributes, WriteAttributes
• プロセス情報 > プロセス ID: [実行プロセスID]
• プロセス情報 > プロセス名: [Python実行ファイルのパス]

• サブジェクト > セキュリティ ID: [ユーザーSID]
• サブジェクト > アカウント名: [ユーザー名]
• サブジェクト > アカウント ドメイン: [ドメイン名]
• オブジェクト > オブジェクト サーバー: Security
• オブジェクト > オブジェクトの種類: File
• オブジェクト > オブジェクト名: C:\Users\domuser\AppData\Local\Temp\[文字列]
• オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
• アクセス要求情報 > アクセス: WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance)
• プロセス情報 > プロセス ID: [実行プロセスID]
• プロセス情報 > プロセス名: [Python実行ファイルのパス]

• サブジェクト > セキュリティ ID: [ユーザーSID]
• サブジェクト > アカウント名: [ユーザー名]
• サブジェクト > アカウント ドメイン: [ドメイン名]
• オブジェクト > オブジェクト サーバー: Security
• オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
• プロセス情報 > プロセス ID: [実行プロセスID]
• プロセス情報 > プロセス名: [Python実行ファイルのパス]

• UtcTime: [発生日時(UTC)]
• ProcessId: [プロセスID]
• Image: C:\WINDOWS\system32\svchost.exe
• TargetFilename: C:\Windows\Prefetch\[Python実行ファイル名]-[文字列].pf
• CreationUtcTime: [ファイル作成日時(UTC)]

• オブジェクト > オブジェクト名: C:\Windows\Prefetch\[Python実行ファイル名]-[文字列].pf
• オブジェクト > ハンドル ID: [ハンドルID]
• アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, ReadData (または ListDirectory), WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), ReadEA, WriteEA, ReadAttributes, WriteAttributes
• プロセス情報 > プロセス ID: [プロセスID]
• プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe

• オブジェクト > オブジェクト名: C:\Windows\Prefetch\[Python実行ファイル名]-[文字列].pf
• オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
• アクセス要求情報 > アクセス: WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance
• プロセス情報 > プロセス ID: [プロセスID]
• プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe

• オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
• プロセス情報 > プロセス ID: [プロセスID]
• プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe

• UtcTime: [発生日時(UTC)]
• ProcessId: [実行プロセスID]
• Image: [Python実行ファイルのパス]
• User: [ドメイン名]\[ユーザー名]
• Protocol: tcp
• Initiated: False
• SourceIp: [接続元IPアドレス]
• SourceHostname: [接続元ホスト名]
• SourcePort: [接続元ポート番号]
• DestinationIp: [NTLMリレーサーバーIPアドレス]
• DestinationHostname: [NTLMリレーサーバーホスト]
• DestinationPort: 445

• アプリケーション情報 > プロセス ID: [実行プロセスID]
• アプリケーション情報 > アプリケーション名: [Python実行ファイルのパス]
• ネットワーク情報 > 方向: 着信
• ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
• ネットワーク情報 > ソース ポート: [接続元ポート番号]
• ネットワーク情報 > 宛先アドレス: [NTLMリレーサーバーIPアドレス]
• ネットワーク情報 > 宛先ポート: 445
• ネットワーク情報 > プロトコル: 6 (TCP)

• アプリケーション情報 > プロセス ID: [実行プロセスID]
• アプリケーション情報 > アプリケーション名: [Python実行ファイルのパス]
• ネットワーク情報 > 送信元アドレス: 0.0.0.0
• ネットワーク情報 > ソース ポート: [バインドされたローカルポート]
• ネットワーク情報 > プロトコル: 6 (TCP)

• UtcTime: [発生日時(UTC)]
• ProcessId: [実行プロセスID]
• Image: [Python実行ファイルのパス]
• User: [ドメイン名]\[ユーザー名]
• Protocol: tcp
• Initiated: False
• SourceIp: [NTLMリレーサーバーIPアドレス]
• SourceHostname: [NTLMリレーサーバーホスト名]
• SourcePort: [接続元ポート番号]
• DestinationIp: [接続先IPアドレス]
• DestinationHostname: [接続先ホスト名]
• DestinationPort: 445

• アプリケーション情報 > プロセス ID: [実行プロセスID]
• アプリケーション情報 > アプリケーション名: [Python実行ファイルのパス]
• ネットワーク情報 > 方向: 送信
• ネットワーク情報 > 送信元アドレス: [NTLMリレーサーバーIPアドレス]
• ネットワーク情報 > ソース ポート: [接続元ポート番号]
• ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
• ネットワーク情報 > 宛先ポート: 445
• ネットワーク情報 > プロトコル: 6 (TCP)

• アプリケーション情報 > プロセス ID: [実行プロセスID]
• アプリケーション情報 > アプリケーション名: [Python実行ファイルのパス]
• ネットワーク情報 > 送信元アドレス: 127.0.0.1
• ネットワーク情報 > ソース ポート: [バインドするローカルポート]
• ネットワーク情報 > プロトコル: 6 (TCP)

対話用のShellがバインドされる。

• アプリケーション情報 > プロセス ID: [実行プロセスID]
• アプリケーション情報 > アプリケーション名: [Python実行ファイルのパス]
• ネットワーク情報 > 送信元アドレス: 127.0.0.1
• ネットワーク情報 > ソース ポート: [バインドされたローカルポート]
• ネットワーク情報 > プロトコル: 6 (TCP)

対話用のShellのリッスン。

• 作成元サブジェクト > セキュリティ ID: [ユーザーSID]
• 作成元サブジェクト > アカウント名: [ユーザー名]
• 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
• 作成元サブジェクト > ログオン ID: [ログオンID]
• プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID]
• プロセス情報 > 新しいプロセス名: C:\Windows\System32\telnet.exe
• プロセス情報 > プロセスのコマンド ライン: "C:\WINDOWS\system32\telnet.exe" 127.0.0.1 [バインドされたローカルポート]

NTLMリレー成功後、telnetで対話用のShellへのアクセスした際のログ。

• UtcTime: [発生日時(UTC)]
• ProcessId: [プロセスID]
• Image: C:\Windows\System32\telnet.exe
• FileVersion・Description・Product・Company・OriginalFileName: [実行ファイルのメタデータ]
• CommandLine: C:\WINDOWS\system32\telnet.exe 127.0.0.1 [バインドされたローカルポート]
• CurrentDirectory: [作業ディレクトリ]
• User: [ドメイン名]\[ユーザー名]
• LogonId: [ログオンID]
• IntegrityLevel: Medium
• Hashes: [実行ファイルのハッシュ値]
• ParentProcessId: [親プロセスID]
• ParentImage: [親実行ファイルのパス]
• ParentCommandLine: [親プロセスのコマンドライン]
• ParentUser: [親プロセスの実行ユーザ]

NTLMリレー成功後、telnetで対話用のShellへのアクセスした際のログ。

• アプリケーション情報 > プロセス ID: [プロセスID]
• アプリケーション情報 > アプリケーション名: \device\harddiskvolume[ボリューム番号]\windows\system32\telnet.exe
• ネットワーク情報 > ソース ポート: [送信元ポート番号]
• ネットワーク情報 > プロトコル: 6 (TCP)

• アプリケーション情報 > プロセス ID: [プロセスID]
• アプリケーション情報 > アプリケーション名: \device\harddiskvolume[ボリューム番号]\windows\system32\telnet.exe
• ネットワーク情報 > 方向: 送信
• ネットワーク情報 > 送信元アドレス: 127.0.0.1
• ネットワーク情報 > ソース ポート: [接続元ポート番号]
• ネットワーク情報 > 宛先アドレス: 127.0.0.1
• ネットワーク情報 > 宛先ポート: [バインドされたローカルポート]
• ネットワーク情報 > プロトコル: 6 (TCP)

• UtcTime: [発生日時(UTC)]
• ProcessId: [プロセスID]
• Image: C:\WINDOWS\system32\telnet.exe
• User: [ドメイン名]\[ユーザー名]
• Protocol: tcp
• Initiated: True
• SourceIp: 127.0.0.1
• SourceHostname: [NTLMリレーサーバーホスト名]
• SourcePort: [接続元ポート番号]
• DestinationIp: 127.0.0.1
• DestinationHostname: [NTLMリレーサーバーホスト名]
• DestinationPort: [バインドされたローカルポート]

• アプリケーション情報 > プロセス ID: [実行プロセスID]
• アプリケーション情報 > アプリケーション名: [Python実行ファイルのパス]
• ネットワーク情報 > 方向: 着信
• ネットワーク情報 > 送信元アドレス: 127.0.0.1
• ネットワーク情報 > ソース ポート: [接続元ポート番号]
• ネットワーク情報 > 宛先アドレス: 127.0.0.1
• ネットワーク情報 > 宛先ポート: [バインドされたローカルポート]
• ネットワーク情報 > プロトコル: 6 (TCP)

• UtcTime: [発生日時(UTC)]
• ProcessId: [実行プロセスID]
• Image: [Python実行ファイルのパス]
• User: [ドメイン名]\[ユーザー名]
• Protocol: tcp
• Initiated: False
• SourceIp: 127.0.0.1
• SourceHostname: [NTLMリレーサーバーホスト名]
• SourcePort: [接続元ポート番号]
• DestinationIp: 127.0.0.1
• DestinationHostname: [NTLMリレーサーバーホスト名]
• DestinationPort: [バインドされたローカルポート]

• DataExtend+FileCreate+Close

• アプリケーション情報 > プロセス ID: [プロセスID]
• アプリケーション情報 > アプリケーション名: System
• ネットワーク情報 > 方向: 送信
• ネットワーク情報 > 送信元アドレス: [NTLMリレーサーバーIPアドレス
• ネットワーク情報 > ソース ポート: [接続元ポート番号]
• ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
• ネットワーク情報 > 宛先ポート: 445
• ネットワーク情報 > プロトコル: 6 (TCP)

• 認証パッケージ: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
• ログオン アカウント: [ユーザー名]
• ソース ワークステーション: [接続元ホスト名]
• エラー コード: 0x0

• サブジェクト > セキュリティ ID: [ユーザーSID]
• サブジェクト > アカウント名: [ユーザー名]
• サブジェクト > アカウント ドメイン: [ドメイン名]
• 特権: SeSecurityPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeTakeOwnershipPrivilege, SeDebugPrivilege, SeSystemEnvironmentPrivilege, SeLoadDriverPrivilege, SeImpersonatePrivilege, SeDelegateSessionUserImpersonatePrivilege, SeEnableDelegationPrivileg

• サブジェクト > セキュリティ ID: S-1-0-0
• サブジェクト > アカウント名: -
• サブジェクト > アカウント ドメイン: -
• 新しいログオン > セキュリティ ID: [ユーザーSID]
• 新しいログオン > アカウント名: [ユーザー名]
• 新しいログオン > アカウント名: [ドメイン名]
• ログオン情報 > ログオン タイプ: 3
• 詳細な認証情報 > ログオン プロセス: NtLmSsp
• 詳細な認証情報 > 認証パッケージ: NTLM
• ネットワーク情報 > ソースワークステーション名: [接続元ホスト名]
• プロセス情報 > プロセス名: [実行ファイルのパス]
• ネットワーク情報 > ソース ネットワーク アドレス: [NTLMリレーサーバーIPアドレス]
• ネットワーク情報 > ソース ポート: [接続元ポート番号]
• 偽装レベル: 偽装
• ログオン情報 > 昇格されたトークン: True

本ログにおいては、接続元IPアドレスとしてはNTLMリレーサーバーのIPアドレスが記録されるが、ワークステーション名はNTLM認証を発生させた元のホスト名が記録される。

• アプリケーション情報 > プロセス ID: [実行プロセスID]
• アプリケーション情報 > アプリケーション名: [実行ファイルのパス]
• ネットワーク情報 > 方向: 着信
• ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
• ネットワーク情報 > ソース ポート: [接続元ポート番号]
• ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
• ネットワーク情報 > 宛先ポート: [接続先ポート番号]
• ネットワーク情報 > プロトコル: 6 (TCP)

• UtcTime: [発生日時(UTC)]
• ProcessId: [プロセスID]
• Image: System
• User: NT AUTHORITY\SYSTEM
• Protocol: tcp
• Initiated: false
• SourceIp: [NTLMリレーサーバーIPアドレス]
• SourceHostname: [NTLMリレーサーバーホスト名]
• SourcePort: [接続元ポート番号]
• DestinationIp: [接続先IPアドレス]
• DestinationHostname: [接続先ホスト名]
• DestinationPort: [接続先ポート番号]

• サブジェクト > セキュリティ ID: [ユーザーSID]
• サブジェクト > アカウント名: [ユーザー名]
• サブジェクト > アカウント ドメイン: [ドメイン名]
• オブジェクト情報 > オブジェクトの種類: File
• オブジェクト情報 > 送信元アドレス: [NTLMリレーサーバーIPアドレス]
• オブジェクト情報 > ソース ポート: [接続元ポート番号]
• 共有情報 > 共有名: \\*\IPC$
• 共有情報 > 共有パス: -
• アクセス要求情報 > アクセス: ReadDataまたはListDirectory

• サブジェクト > セキュリティ ID: [ユーザーSID]
• サブジェクト > アカウント名: [ユーザー名]
• サブジェクト > アカウント ドメイン: [ドメイン名]
• オブジェクト情報 > オブジェクトの種類: File
• オブジェクト情報 > 送信元アドレス: [NTLMリレーサーバーIPアドレス]
• オブジェクト情報 > ソース ポート: [接続元ポート番号]
• 共有情報 > 共有名: \\*\IPC$
• 共有情報 > 相対ターゲット名: srvsvc
• アクセス要求情報 > アクセス: ReadData (または ListDirectory), WriteData (または AddFile)

• サブジェクト > セキュリティ ID: [ユーザーSID]
• サブジェクト > アカウント名: [ユーザー名]
• サブジェクト > アカウント ドメイン: [ドメイン名]
• オブジェクト情報 > オブジェクトの種類: File
• オブジェクト情報 > 送信元アドレス: [NTLMリレーサーバーIPアドレス]
• オブジェクト情報 > ソース ポート: [接続元ポート番号]
• 共有情報 > 共有名: \\*\IPC$
• 共有情報 > 相対ターゲット名: srvsvc
• アクセス要求情報 > アクセス: ReadData (または ListDirectory), WriteData (または AddFile)