[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[port139ml:05271] MS04-011 LSASS攻撃の痕跡

To: <port139ml@xxxxxxxxxxxxx>
Subject: [port139ml:05271] MS04-011 LSASS攻撃の痕跡
From: "Hideaki Ihara" <hideaki@xxxxxxxxxxxxx>
Date: Thu, 29 Apr 2004 10:20:32 +0900

Port139 伊原です。

危険度が高いといわれている、LSASS への攻撃ですが
SecuLog によるとイベントログには特に痕跡が残らない
ようですね。

http://www.7th-angel.net/seculog/index.php?itemid=493

ANONYMOUS のログオフがセキュリティログに記録される
かもしれませんが、このレコードは通常運用時にも記録さ
れますので、侵害の有無を確認するには稼働中プロセス
やバックドア等の通信を確認する必要がありますね。

例示されている Exploit コードが利用された場合、プロセス
実行の監査を行っていれば、CMD.EXE の実行が記録され
るんでしょうかね？

Port Reporter (PortRptr.exe) ではどんな記録が残るのか
興味ありますが、どなたか休日の暇つぶしにでも（笑）

＃さて、世間が休日のうちに追いついておかないとorz

Follow-Ups:
- [port139ml:05272] Re: MS04-011 LSASS攻撃の痕跡
  - From: Hideaki Ihara

Prev by Date: [port139ml:05270] Re: IIS Schannelのエラー
Next by Date: [port139ml:05272] Re: MS04-011 LSASS攻撃の痕跡
Previous by thread: [port139ml:05270] Re: IIS Schannelのエラー
Next by thread: [port139ml:05272] Re: MS04-011 LSASS攻撃の痕跡
Index(es):
- Date
- Thread