3.影響範囲(Rev.20160527) 実行痕跡の調査 収集した情報を保存したファイル 情報収集ツール キーロガー タイムスタンプ キーロガーの保存ファイル パスワードハッシュ 攻撃ツール 権限昇格ツール 文字列痕跡 パスワードダンプ ダンプしたファイル NTDS.DITファイルの有無 ネットワーク探索 バックドアツール 消去ツール ポート転送ツール ファイルの完全消去 実行痕跡の調査 プリフェッチファイル ファイルの収集コマンド ロードされたファイル メタ情報(プロパティ) 収集したファイル コピー日時 作成日時 収集コマンドの文字列痕跡 ファイルのアクセスログ 1.作成されたファイルを調べる アクセスしたファイル パスワード文字列痕跡の検索 パスワードが設定されたファイル データの持ち出し データ内容は不明 イベントログ 圧縮ファイルの有無 セキュリティログ ID 4688 新しいプロセスが作成されました。 KB 3004375:コマンドライン シグネチャ確認 実行痕跡の調査 圧縮ツール コマンドの文字列痕跡 実行痕跡の調査 ファイルの転送コマンド(FTP等) コマンドの文字列痕跡 送受信データサイズ PROXYログ 転送したファイル名 データ内容は不明 データ内容は不明 オンラインストレージへのアクセス Web履歴 データを含め復元が可能 削除ファイルの復元 ファイル名だけが復元が可能 データ内容は不明 カービング メモリ ( ) 文字列痕跡 hiberfil.sys NET USE コマンドの文字列痕跡 pagefile.sys 未割り当て領域 IPアドレス 文字列痕跡 別機器からのログオン イベントログ セキュリティログ ログオン成功 ログオン失敗 2.横展開 別機器へのログオン イベントログ セキュリティログ 別の機器上 イベントログ ログオン試行 ログオン成功 ログオン失敗 セキュリティログ イベントログ ID 4624 アカウントが正常にログオンしました。 ログオンタイプ:3,10 ID 4625 アカウントは、ログオンに失敗しました。 ID 4648 明示的な資格情報を使用して、ログオンが試行されました。 ID 4624 アカウントが正常にログオンしました。 アカウントロックアウト ID 4740 ユーザー アカウントがロックアウトされました。 ID 4625 アカウントは、ログオンに失敗しました。 ID 4688 新しいプロセスが作成されました。 PowerShell WMI-Activity 別機器に対するプログラム実行 セキュリティログ 別の機器上 イベントログ ID 4688 新しいプロセスが作成されました。 PowerShell WMI-Activity 権限昇格を行うプログラム 3.権限昇格 ローカルAdministratorアカウント Copyright © LAC Co., Ltd. All Rights Reserved. 実行痕跡の調査 権限昇格で利用するファイル 最終ログオン日時 イベントログ SAM セキュリティログ 4624 アカウントが正常にログオンしました。
© Copyright 2024 ExpyDoc
