調査レポートサンプル

サイバー攻撃の可能性が高いアクセス

サンプル1
コマンド一例
SamrEnumerateUsersInDomain サーバに登録されているアカウントリストを取得しようとしている。
攻撃に利用できる管理者権限のアカウントを調査する時などに使用される。
①SamrCreateUser2InDomain
②SamrAddMemberToAlias
サーバにアカウントを追加し①管理者権限に昇格している②攻撃者が自由に利用できる管理者権限のアカウント(バックドアアカウント)を作成する場合に使用される。
NetrJobAdd ATコマンドを使用してリモートでサーバにタスクを追加する場合に使用される。

ポリシー違反やサイバー攻撃が疑われるアクセス

管理者やマルウェアが利用するシェアに接続している

サンプル2

管理者権限のアカウントを使用している

サンプル3
ipaガイド

ユーザ端末においてファイル共有機能を利用していない場合は、グループポリシーなどを利用してファイル共有機能を停止するとともに、ユーザによるファイル共有の作成を禁止します。

OS標準状態で有効になっている管理共有(C$やD$、ADMIN$など)が非常によく狙われるため、設定後に正しく無効化できているかnet shareコマンドを利用して確認することを推奨します。

IPA発行『「高度標的型攻撃」対策に向けたシステム設計ガイド』p77

管理共有へのアクセスが全体の99%を占める

ログ全体の約99%は以下のログで占められている

  • アクセス元IPアドレス:10.21.*.*/10.70.*.*
  • アカウント:Administrator
  • アクセス先:管理共有(\D$)
サンプル5

正規ではない文字コードの利用

  • 正規(UTF-8)ではない文字コードがインジェクションされたアクセスを検知しました。
  • エクセルファイルに見せかけた実行ファイルがサーバに作成されています。
  • 汚染ファイルをファイルサーバに配置する水飲み場攻撃の可能性があります。
  • IDSによる検知を回避するために、バイナリコードがインジェクションされている可能性があります。
サンプル6

SMB1.0利用端末の抽出

サンプル7
  • MicrosoftはSMB1.0に脆弱性があり、ランサムウェア等により悪用される恐れがあるとしてSMB1.0の使用停止を注意喚起しています。
  • リストアップされた端末は必ずしも感染端末や攻撃端末ではありません。SMB1.0が無効化されていない端末です。

ランサムウェア(WannaCry)と同様のアクセス

SMB1によるLogonFailure

サンプル8

SMB1によるC$へのアクセス

サンプル9

ランサムウェア(WannaCry)の活動(参考資料)

アクション アクセスの向き VISUACT-Xログ
ポートスキャン CL⇒
ログオン CL⇒SV
失敗の場合 CL⇐SV Protocol:SMB1  Operation:LogonFailure
成功の場合 CL⇐SV Protocol:SMB1  Operation:Logon
CL⇒SV Protocol:SMB1  Resource:¥C$
サンプル10