SecurityInsight | セキュリティインサイト

JPCERT/CC、インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書を公開

JPCERT/CCは11月9日、インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書を公開した。その概要は以下のとおり。

JPCERT/CCでは、昨年6月に攻撃者がネットワーク内に侵入後に利用する可能性が高いツール、コマンドを調査し、それらを実行した際にどのような痕跡がWindows OS上に残るのかを検証した結果をまとめたレポート「インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書」を公開した。今回の報告書はそのアップデート版となる。

■レポートのアップデート内容
このレポートは、攻撃に使用されることが多いツールやコマンドの実行時に、どのようなログが出力され、どのようなファイルが作成されるかをまとめた資料であり、インシデント調査に活用できるものになっている。以前のレポートでは、イベントログおよびレジストリエントリの調査が中心だったが、今回のアップデートではUSN JournalやAppCompatCache、UserAssistなどフォレンジック視点で調査する場合の確認方法についても記載している。

その他のアップデートは以下のとおり。
・Windows 10を用いた検証
・Sysmonバージョン5を用いた検証
・調査対象となる証跡の追加
 →USN Journal、AppCompatCache、UserAssistなど
・ネットワーク通信の調査
 →プロキシ、ファイアウォールなど
・調査対象ツールの追加・入れ替え
・ツール分析結果のHTML化
 

関連リンク

プレスリリース