近年のサイバー攻撃では、マルウエアに感染したマシンを侵入の起点として、他のマシンへの感染拡大や、内部サーバへの侵入など、組織内の至るところを侵害する事例が多く確認されています。こうした事案においては調査対象ポイントが多数になるので、それらを重大な事象を見落とすことなく迅速に調査して、できる限り正確に被害の全体像を掌握し、善後策の立案に必要な事実を収集するための手立てが求められています。
一方、攻撃対象であるネットワークの構成は組織によって様々ですが、攻撃の手口にはよく見られる共通したパターンが存在し、同じツールが使用されることが多く見受けられます。
攻撃者によって使われることが多い代表的なツールがどのようなものか、さらに、それらが使用されると、どこにどのような痕跡が残るのかを把握していれば、多数の調査対象ポイントを体系的かつ迅速に調査できるようになると考えられます。本報告書は、実際の攻撃に使われることが多いツールの実行時にどのようなログが残るのか、またどのような設定をすれば十分な情報を含むログを取得できるようになるのかを調査し、まとめています。
なお、ツール実行時に作成される痕跡(イベントログやフォレンジックアーキテクチャ)の詳細に関しては、「ツール分析結果シート」としてGitHubで公開しています。
ツール分析結果シート
https://jpcertcc.github.io/ToolAnalysisResultSheet_jp/
インシデント調査に活用できる資料になっておりますので、是非ご利用ください。
調査協力:株式会社インターネットイニシアティブ(IIJ)
| 公開日 | タイトル | PDF署名 |
|---|---|---|
| 2017-12-05 | Detecting Lateral Movement through Tracking Event Logs(Version 2) | 352KB(PGP署名) |
| 2017-06-12 | Detecting Lateral Movement through Tracking Event Logs | 2.24MB(PGP署名) |
| 公開日 | タイトル | PDF署名 |
|---|---|---|
| 2017-11-09 | インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書(第2版) | 344KB(PGP署名) |
| 2016-06-28 | インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書 | 2.60MB(PGP署名) |
