はじめに
ネットワークセキュリティとペネトレーションテストに注力するサイバーセキュリティ専門家として、攻撃者が使用するツールや手法を理解することの重要性を身をもって体験してきました。本稿では、サイバー犯罪者や攻撃者によってしばしば悪用されるMicrosoft SysInternalsスイートのユーティリティ、PsExecが残す法医学的な痕跡について詳しく掘り下げていきます。
PsExecとその用途
PsExecは、ユーザーが他のシステムでリモートコマンドを実行できるようにする便利なツールです。システム管理者にとっては有用ですが、サイバー犯罪活動や攻撃者の横の移動、リモートコマンド実行にも頻繁に使用されています。悪意のあるアクターはPsExecを使ってランサムウェアやその他のマルウェアを配布するため、攻撃の重要な手段となっています。
法医学的痕跡: PsExecキーファイル
PsExecによる攻撃の重要な法医学的痕跡の1つは、攻撃対象システムに残されるユニークなキーファイルです。このファイルはC:\Windowsディレクトリに、攻撃元マシンのホスト名を付けて保存されます。このファイルの存在は、PsExec攻撃の強い指標となり、侵入の出所を特定するための重要な手がかりとなります。
PsExec使用の検出
攻撃対象システムでPsExecの使用を検出するには、WindowsイベントログでイベントID 7045を検索します。これは新しいサービスのインストールを示しています。攻撃者がサービス名をカスタマイズしている可能性がありますが、PsExecキーファイルの存在が攻撃の出所を確認する手がかりとなります。また、USNジャーナルを調べることで、PsExecキーファイルの作成を特定し、侵入の証拠を得られます。
デモンストレーションと設定
本稿に付随する動画では、攻撃者と被害者の役割を担う2つの仮想マシン間でPsExecを使用する様子を紹介しています。動画では、リモートPsExec実行に必要なファイアウォールルールと資格情報、カスタマイズ可能なサービス名、そしてイベントログエントリの作成を示しています。
法医学ツールとリソース
動画ではEric ZimmermanのツールスイートであるPECmdを使ってプリフェッチファイルを分析し、PsExecキーファイルを特定する方法を紹介しています。また、SANS Forensics 508クラス、Microsoft PsExecに関する記事、13Cubeの動画など、デジタル forensics と事故対応 (DFIR) コミュニティの専門家による情報も推奨しています。これらのリソースは、専門家の知見を学ぶ重要性を強調しています。
まとめ
PsExecのような手法が残す法医学的痕跡を理解することは、セキュリティ専門家にとって非常に重要です。これにより、攻撃の特定と対応をより効果的に行えるようになります。本稿で共有した知識とリソースを活用することで、PsExec攻撃の検知、調査、軽減能力を高め、組織全体のセキュリティ体制を強化することができます。
キーポイント:
- PsExecは攻撃者による横の移動やリモートコマンド実行に悪用される強力なツールです
- PsExec 2.30以降のバージョンでは、攻撃元マシンのホスト名を付けたユニークなキーファイルが対象システムに生成されます
- このキーファイルの存在は、PsExec攻撃の強力な指標となります
- Windowsイベントログの検索とUSNジャーナルの分析により、PsExecの使用を検出できます
- PECmdなどの法医学ツールや専門家の情報を活用すれば、PsExec関連のインシデントを特定・調査できます