| コマンド実行 | BeginX | クライアントからサーバーに対してコマンドを実行をする |
|---|
| BITS | バックグラウンドでファイルを送受信する |
| PsExec | リモートホスト上でコマンドを実行する |
| schtasks | 指定した時刻にタスクを実行する |
| WinRM | リモートの端末から情報を収集する |
| WinRS | リモートホスト上でコマンドを実行する |
| wmic | Windowsのシステム管理に使用する |
| wmiexec.vbs | Windowsのシステム管理に使用する |
| パスワード、ハッシュの入手 | AceHash | パスワードハッシュ値を取得し、ホストにログオンする |
|---|
| Find-GPOPasswords | グループポリシーのファイルに記載されているパスワードを取得する |
| gsecdump | SAM/ADやログオンセッションから、パスワードハッシュを抽出する |
| lslsass | lsassプロセスから、有効なログオンセッションのパスワードハッシュを取得する |
| Mimikatz (lsadump::sam) | OS内に保存された認証情報を搾取する |
| Mimikatz (sekurlsa::logonpasswords) | OS内に保存された認証情報を搾取する |
| Mimikatz (sekurlsa::tickets) | ログオンしているセッションのチケットを取得する |
| PowerMemory | ファイルやメモリ内に存在する認証情報を取得する |
| PowerMemory (key 6) | KDCを介さずにローカルでTGSを生成・メモリロードする |
| Get-GPPPassword | グループポリシーに記載されている平文のパスワードとその他のアカウント情報を取得する |
| Invoke-Mimikatz | メモリ上にMimikatzを読み込み、起動させる |
| Out-Minidump | メモリ上のプロセスをダンプする |
| PwDump7 | ホスト内のパスワードハッシュ一覧を表示する |
| PwDump8 | ホスト内のパスワードハッシュ一覧を表示する |
| PWDumpX | リモートホストからパスワードハッシュを取得する |
| Quarks PwDump | ドメインアカウントおよびローカルアカウントのパスワードハッシュや、キャッシュされたパスワードを取得する |
| WCE | ホストのメモリ内に存在する、パスワードハッシュを取得する |
| WebBrowserPassView | Webブラウザに保存されているユーザー名・パスワードを抽出する |
| 通信の不正中継 | Fake WPAD | wpadサーバーとして動作し、クライアントからの通信内容を取得・変更する |
|---|
| Htran | 通信をトンネリングさせる |
| NTLMRelayX | NTLM認証を窃取する中間サーバとして動作し、被害者になりすまして、対象サーバーへの認証を取得する |
| リモートログイン | RDP | リモートデスクトップサービスが稼働しているサーバーに接続する |
|---|
| Pass-the-hash / Pass-the-ticket | Mimikatz (Pass-the-Hash) | 取得したパスワードハッシュを利用し、リモートホストでコマンドを実行する |
|---|
| WCE(リモートログイン) | 取得したパスワードハッシュを利用し、リモートホストでコマンドを実行する |
| Overpass-the-hash | 取得したパスワードハッシュを利用してKerberosチケットを取得する |
| Pass-the-PRT | pass-the-PRT攻撃に必要なリフレッシュトークンを窃取する |
| Diamond Ticket | 不正にKerberosの認証チケットを作成し、リモートホストに接続する |
| 権限昇格 | MS14-058 | 指定した実行ファイルを、SYSTEM権限で実行する |
|---|
| MS15-078 | 指定した実行ファイルを、SYSTEM権限で実行する |
| SDB UAC Bypass | アプリケーション互換データベース (SDB) を用いて、UACにより制御されるアプリケーションを管理者権限で実行する |
| BadSuccessor | Windows Server 2025で導入されたDelegated Managed Service Account(dMSA)機能を悪用することで、攻撃者が任意のユーザーと同等の権限を取得できる |
| ドメイン管理者権限アカウントの奪取 | MS14-068 | ドメインユーザーの権限を、ドメイン管理者権限に変更する |
|---|
| Mimikatz (Golden Ticket) | 不正にKerberosの認証チケットを作成し、リモートホストに接続する |
| Mimikatz (Silver Ticket) | 不正にKerberosの認証チケットを作成し、リモートホストに接続する |
| DCSync | Active Directory から認証情報を取得する |
| DCShadow | 偽のドメインコントローラーを装い、Active Directoryのレプリケーション機能を悪用して権限情報などのディレクトリデータを密かに改ざんする |
| 情報収集 | csvde | Active Directory上のアカウント情報をCSV形式で出力する |
|---|
| dcdiag | ドメインコントローラーの状態を分析・調査する |
| dsquery | Active Directoryから、ユーザーやグループなどの情報を取得する |
| ldifde | Active Directory上のアカウント情報をLDIF形式で出力する |
| nltest | 使用しているドメインコントローラーとそのIPアドレスを取得する |
| nmap | ネットワーク調査に使用する |
| ntdsutil | Active Directory データベースの保守に使用する |
| AzureHound | BloodHoundで攻撃対象調査をする際にAzure用のデータコレクタして使用する |
| SharpHound | BloodHoundで攻撃対象調査をする際にActiveDirectory用のデータコレクタとして使用する |
| ローカルユーザー・グループの追加・削除 | net user | ホストまたはドメイン上に、ユーザーアカウントを追加する |
|---|
| ファイル共有 | net use | ネットワーク上で公開されている共有ポイントに接続する |
|---|
| 痕跡の削除 | klist purge | 保存されたKerberosチケットを削除する |
|---|
| sdelete | ファイルを複数回上書きしてから削除する |
| timestomp | ファイルのタイムスタンプを変更する |
| vssadmin | Volume Shadow Copyを作成し、NTDS.DITやレジストリなどのシステムファイルを抽出する |
| wevtutil | Windowsのイベントログを削除する |