[port139ml:05272] Re: MS04-011 LSASS攻撃の痕跡

["Hideaki Ihara" <hideaki@xxxxxxxxxxxxx>]

Port139 伊原です。ちょっと息抜き〜

From: "Hideaki Ihara" <hideaki@xxxxxxxxxxxxx>
Subject: [port139ml:05271] MS04-011 LSASS攻撃の痕跡


> 例示されている Exploit コードが利用された場合、プロセス
> 実行の監査を行っていれば、CMD.EXE の実行が記録され
> るんでしょうかね？

プロセス追跡の監査を取っていれば、CMD.EXE の実行が
記録されるようですね。

１．ユーザー名が“コンピュータ名”で CMD.EXE が実行
２．同時刻に ANONYMOUS ログオフが記録されている

特徴として、CMD.EXE の実行ユーザーが“コンピュータ名$”
になっている点がありますので、１ と 2 がセットで記録され
ている場合は要調査ですね。（CMD.EXE とは別のプログラ
ムが実行される可能性も考えられますが）

調査する場合は、証拠消さないようにしましょうね ;-)

イベントログを確認する場合、調査対象へ直接コンソール
やターミナルからログオンするのは危険なので、ログホスト
へ送信したログで確認するか、リモートのイベントビューア
から調査対象へ接続して読むほうが安全です。
ただし、リモートから接続してイベントログを読む場合に、
調査対象上で syunlog などが通信履歴を記録していると、
この通信のログがファイルへ記録（書き込み）されることに
なり削除ファイルの復元ができなくなる可能性があります。
＃厳密にはログオンイベントが発生するのでイベントログ
＃への書き込みが発生するなど色々ありますが。