別紙 マインドマップ 3.影響範囲(案)

Mindmap3̲影響範囲(案)
実行痕跡の調査
収集した情報を保存したファイル
情報収集ツール
キーロガー
タイムスタンプ
キーロガーの保存ファイル
パスワードハッシュ
攻撃ツール
権限昇格ツール
文字列痕跡
パスワードダンプ
ダンプしたファイル
NTDS.DITファイルの有無
ネットワーク探索
バックドアツール
消去ツール
ポート転送ツール
ファイルの完全消去
実行痕跡の調査
プリフェッチファイル
ロードされたファイル
メタ情報(プロパティ)
収集したファイル
ファイルの収集コマンド
コピー日時
作成日時
収集コマンドの文字列痕跡
ファイルのアクセスログ
アクセスしたファイル
パスワード文字列痕跡の検索
1.作成されたファイルを調べる
データ内容は不明
パスワードが設定されたファイル
データの持ち出し
イベントログ
圧縮ファイルの有無
セキュリティログ
ID 4688 新しいプロセスが作成されました。
KB 3004375:コマンドライン
シグネチャ確認
実行痕跡の調査
圧縮ツール
コマンドの文字列痕跡
実行痕跡の調査
ファイルの転送コマンド(FTP等)
PROXYログ
転送したファイル名
コマンドの文字列痕跡
送受信データサイズ
データ内容は不明
データ内容は不明
オンラインストレージへのアクセス
Web履歴
データを含め復元が可能
ファイル名だけが復元が可能
削除ファイルの復元
データ内容は不明
カービング
istrings
文字列痕跡の確認
http://openmya.hacker.jp/hasegawa/
strings / jstrings
別機器からのログオン
イベントログ
ID 4624 アカウントが正常にログオンしました。
ログオン成功
セキュリティログ
ログオンタイプ:3,10
ログオン失敗
イベントログ
セキュリティログ
別の機器上
イベントログ
ID 4625 アカウントは、ログオンに失敗しました。
ログオン試行
ID 4648 明示的な資格情報を使用して、ログオンが試行されました。
ログオン成功
別機器へのログオン
アカウントロックアウト
ビットマップキャッシュ
ID 4740 ユーザー アカウントがロックアウトされました。
ID 4625 アカウントは、ログオンに失敗しました。
HKCU\Software\Microsoft\Terminal Server Client\Servers
RDP接続
イベントログの消去
ID 4624 アカウントが正常にログオンしました。
ログオン失敗
UsernameHint
C:\Users\<ユーザー名>\AppData\Local\Microsoft\Terminal Server Client\Cache
ログが記録されている期間の確認
セキュリティログ:ID 1102 監査ログが消去されました。
wevtutil cl
消去したアカウント名を確認
AT / SCHTASKSコマンド実行痕跡
scrcons.exe
WMIC コマンド
mofcomp.exe
C:\Windows\System32\wbem\autorecover\
C:\Windows\System32\wbem\Repository\index.btr
C:\WINDOWS\System32\wbem\repository\fs\objects.data
プリフェッチ
(
)
PowerShellコマンド
実行痕跡
Get-WmiObject
Invoke-WmiMethod
psexec / RemCom コマンド
regコマンド
scコマンド
別機器に対するプログラム実行
CSCRIPT.EXE
WSH
WSCRIPT.EXE
レジストリ
メモリ
2.横展開
Volatility
セキュリティログ
イベントログ
cmdscan
consoles
ID 4688 新しいプロセスが作成されました。
PowerShell
WMI-Activity
セキュリティログ
別の機器上
イベントログ
ID 4688 新しいプロセスが作成されました。
PowerShell
WMI-Activity
メモリ
pagefile.sys
対象データ
hiberfil.sys
未割り当て領域
文字列痕跡
別機器に対する接続
NET コマンドの文字列痕跡(例 net use)
別機器に対するコマンド実行痕跡
IPアドレス 文字列痕跡
パスワードハッシュのダンプ痕跡
Pth
ハッシュ値
SAMから取得できる値
PING コマンド
net コマンド
ネットワーク探索
AD環境に関する情報収集
通信痕跡
イベントログ
メモリ
volatility
パケット
csvde
dsquery
ポートのオープン
Windows FireWall
netscan
BulkExtractor
別機器からコピーされたファイルがローカル上に存在していないか
ファイル
LNK
別機器上のファイルを参照した痕跡
JumpList
権限昇格を行うプログラム
3.権限昇格
ローカルAdministratorアカウント
実行痕跡の調査
権限昇格で利用するファイル
最終ログオン日時
デジタル・フォレンジック コース参考資料 Copyright © LAC Co., Ltd. All Rights Reserved.
イベントログ
SAM
セキュリティログ
4624 アカウントが正常にログオンしました。