シナリオでは、検知対象となる項目があり、それらに対する検知の有無で評価しています。
項目は、「(大項目番号).(中項目アルファベット).(小項目番号)」というルールで付与されています。
自分ではExcelで資料をまとめているのですが、ブログに掲載すると、どうしても見づらくなります。
ご容赦願います(どうにかならないかなぁ)。
シナリオ1:「Carbanak」による金融機関に対する攻撃の検知項目
| 大項目 | ID | 検知対象の行動 | Att&ck ID | Att&ck 内容 | |
| 1 | 初期侵入 | 1.A.1 | ユーザーが1-list.rtfをクリックすると、explorer.exeがwinword.exeを生成。 | T1204 | ユーザによる実行 |
| 1.A.2 | winword.exeはVBE7.DLLをロード。 | T1559 | プロセス間通信 | ||
| 1.A.3 | wscript.exeはunprotected.vbeを実行。 | T1059 | コマンドおよびスクリプトインタプリタ | ||
| 1.A.4 | unprotected.vbeはエンコードされたファイルである。 | T1027 | 難読化されたファイルまたは情報 | ||
| 1.A.5 | wscript.exeはコンテンツをデコードし、starter.vbsを作成。 | T1140 | ファイルまたは情報の難読化/デコード | ||
| 1.A.6 | wscript.exeはコンテンツをデコードし、TransBaseOdbcDriver.jsを作成。 | T1140 | ファイルまたは情報の難読化/デコード | ||
| 1.A.7 | wscript.exeはstarter.vbsを実行。 | T1059 | コマンドおよびスクリプトインタプリタ | ||
| 1.A.8 | wscript.exeはcmd.exeを生成。 | T1059 | コマンドおよびスクリプトインタプリタ | ||
| 1.A.9 | cmd.exeはwscript.exeを生成し、TransBaseOdbcDriver.jsを実行。 | T1059 | コマンドおよびスクリプトインタプリタ | ||
| 1.A.10 | wscript.exeはHTTPSプロトコルでIP192.168.0.4にデータを送信。 | T1071 | アプリケーション層プロトコル | ||
| 1.A.11 | wscript.exeはHTTPSプロトコルでIP192.168.0.4にデータを送信。 | T1573 | 暗号化されたチャネル | ||
| 2 | ローカル端末の探索と収集 | 2.A.1 | |||
| 2.A.2 | wscript.exeは、Win32_ProcessorおよびWin32_OperatingSystemのWMIクエリを作成 | T1082 | システム情報の探索 | ||
| 2.A.3 | |||||
| 2.A.4 | wscript.exeはWin32_ProcessのWMIクエリを作成 | T1057 | プロセスの探索 | ||
| 2.B.1 | wscript.exeはIP192.168.0.4からscreenshot __.ps1をダウンロード | T1105 | 侵入ツールの転送 | ||
| 2.B.2 | wscript.exeはcmd.exeを生成 | T1059 | コマンドおよびスクリプトインタプリタ | ||
| 2.B.3 | cmd.exeはpowershell.exeを生成 | T1059 | コマンドおよびスクリプトインタプリタ | ||
| 2.B.4 | powershell.exeはCopyFromScreen()を実行 | T1113 | スクリーンキャプチャ | ||
| 2.B.5 | wscript.exeは、screenshot __.pngをリードし、IP192.168.0.4へアップロード | T1041 | コマンドアンドコントロールチャネルを介した抽出 | ||
| 3 | 第2のRAT感染 | 3.A.1 | wscript.exeはcmd.exeを生成 | T1059 | コマンドおよびスクリプトインタプリタ |
| 3.A.2 | cmd.exeは、reg.exeを生成し、以下のレジストリに値を追加 HKCU\Software\InternetExplorer \AppDataLow\Software\Microsoft\ InternetExplorer |
T1112 | レジストリの変更 | ||
| 3.A.3 | base64でエンコードしてレジストリに値を追加 | T1027 | 難読化されたファイルまたは情報 | ||
| 3.B.1 | wscript.exeはIP192.168.0.4からLanCradDriver.ps1をダウンロード | T1105 | 侵入ツールの転送 | ||
| 3.B.2 | wscript.exeはcmd.exeを生成 | T1059 | コマンドおよびスクリプトインタプリタ | ||
| 3.B.3 | cmd.exeはpowershell.exeを生成 | T1059 | コマンドおよびスクリプトインタプリタ | ||
| 3.B.4 | powershell.exeは以下のレジストリキーを読み込み HKCU\Software\InternetExplorer\AppDataLow \Software\Microsoft\InternetExplorer via Get-ItemProperty |
T1012 | レジストリ検索 | ||
| 3.B.5 | powershell.exeはレジストリの値を復号化、BASE64からデコードして平文のシェルコードに変換 | T1140 | ファイルまたは情報の難読化/デコード | ||
| 3.B.6 | powershell.exeはCreateThread()APIをコールし、レジストリからシェルコードを実行 | T1106 | ネイティブAPI | ||
| 3.B.7 | powershell.exeはTCPによりIP192.168.0.4にデータを送信 | T1095 | 非アプリケーション層プロトコル | ||
| 4 | ドメインの探索と資格情報のダンプ | 4.A.1 | powershell.exeはFindFirstFileW()およびFindNextFileW()APIをコール | T1083 | ファイルとディレクトリの探索 |
| 4.A.2 | powershell.exeはGet-NetComputerを実行し、IP10.0.0.4への接続を介してLDAP(ポート389)にクエリを実行 | T1018 | リモートシステムの探索 | ||
| 4.A.3 | 複数のホストに対しDCOM / RPC(ポート135)へのアクセスを試行するために、powershell.exeはFind-LocalAdminAccessを実行 | T1110 | 総当たり攻撃 | ||
| 4.A.4 | powershell.exeはユーザー「kmitnick」でIP10.0.0.4またはIP10.0.0.5のホストにログイン成功 | T1078 | 有効なアカウント | ||
| 4.B.1 | powershell.exeはIP192.168.0.4からrad353F7.ps1をダウンロード | T1105 | 侵入ツールの転送 | ||
| 4.B.2 | powershell.exeは192.168.0.4からsmrs.exeをダウンロード | T1105 | 侵入ツールの転送 | ||
| 4.B.3 | powershell.exeはrad353F7.ps1を実行 | T1059 | コマンドおよびスクリプトインタプリタ | ||
| 4.B.4 | powershell.exeはNew-ItemおよびNew-ItemPropertyを利用し、以下のレジストリに値を追加 HKCU:\Software\Classes\ms-settings\ shell\open\command |
T1112 | レジストリの変更 | ||
| 4.B.5 | fodhelper.exeは、高権限プロセスとしてcmd.exeを生成 (注:環境の構成により、攻撃者のプロセスの権限はデフォルトで高くなっている。このサブステップは、プロセスの整合性レベルに関連するデータの検出と、UACバイパスの実行されたメカニズムを評価するために実行された。) |
T1548 | 権限コントロールメカニズムの悪用 | ||
| 4.B.6 | cmd.exeはsmrs.exeを生成 | T1059 | コマンドおよびスクリプトインタプリタ | ||
| 4.B.7 | smrs.exeがlsass.exeをオープンして読み込み | T1003 | OSの認証情報取得 | ||
| 5 | 水平展開 | 5.A.1 | powershell.exeはIP192.168.0.4からpscp.exeをダウンロード | T1105 | 侵入ツールの転送 |
| 5.A.2 | powershell.exeはIP192.168.0.4からpsexec.pyをダウンロード | T1105 | 侵入ツールの転送 | ||
| 5.A.3 | powershell.exeはIP192.168.0.4からランタイムをダウンロード | T1105 | 侵入ツールの転送 | ||
| 5.A.4 | powershell.exeはIP192.168.0.4からplink.exeをダウンロード | T1105 | 侵入ツールの転送 | ||
| 5.A.5 | powershell.exeはIP192.168.0.4からtiny.exeをダウンロード | T1105 | 侵入ツールの転送 | ||
| 5.A.6 | powershell.exeはcmd.exeを生成 | T1059 | コマンドおよびスクリプトインタプリタ | ||
| 5.A.7 | Pscp.exeはSCP(ポート22)経由でIP10.0.0.7に接続 | T1021 | リモートサービス | ||
| 5.A.8 | ユーザー「kmitnick」がbankfileserver(IP10.0.0.7)にログオン | T1078 | 有効なアカウント | ||
| 5.A.9 | Pscp.exeはpsexec.pyをIP10.0.0.7にコピー | T1570 | ツールの水平展開 | ||
| 5.A.10 | Pscp.exeはランタイムをIP10.0.0.7にコピー | T1570 | ツールの水平展開 | ||
| 5.A.11 | Pscp.exeはtiny.exeをIP10.0.0.7にコピー | T1570 | ツールの水平展開 | ||
| 5.B.1 | plink.exeはSSH(ポート22)経由でIP10.0.0.7に接続 | T1021 | リモートサービス | ||
| 5.B.2 | ユーザー「kmitnick」がbankfileserver(IP10.0.0.7)にログオン | T1078 | 有効なアカウント | ||
| 5.B.3 | ユーザー「kmitnick」がps axを実行 | T1057 | プロセスの探索 | ||
| 5.B.4 | ユーザー「kmitnick」がls -lsahR /var/ を実行 | T1083 | ファイルとディレクトリの探索 | ||
| 5.B.5 | ユーザー「kmitnick」がcatで network-diagram-financial.xml を参照 | T1005 | ローカルシステムのデータ取得 | ||
| 5.B.6 | ユーザー「kmitnick」がcatで help-desk-ticket.txt を参照 | T1005 | ローカルシステムのデータ取得 | ||
| 5.B.7 | ユーザー「kmitnick」がDNS(ポート53)経由でDC(IP10.0.0.4)を照会するnslookupを介してドメインコントローラーを列挙 | T1018 | リモートシステムの探索 | ||
| 5.C.1 | psexec.pyはユーザーkmitnickとしてIP10.0.0.4へのログオン | T1550 | 代替の認証マテリアルの利用 | ||
| 5.C.2 | psexec.pyはIP10.0.0.4のSMB共有に接続 | T1021 | リモートサービス | ||
| 5.C.3 | C:\ Windows \のサービス実行可能ファイルからcmd.exeを生成 | T1569 | システムサービス | ||
| 5.C.4 | tiny.exeがIP10.0.0.4で作成される | T1570 | ツールの水平展開 | ||
| 5.C.5 | cmd.exeはtiny.exeを生成 | T1059 | コマンドおよびスクリプトインタプリタ | ||
| 5.C.6 | tiny.exeは、ネットワーク接続からメモリにシェルコードをロード | T1140 | ファイルまたは情報の難読化/デコード | ||
| 6 | 探索 | 6.A.1 | tiny.exeはsystem.management.automation.dllをロード | T1059 | コマンドおよびスクリプトインタプリタ |
| 6.A.2 | PowerShellはGet-ADComputer を実行 | T1018 | リモートシステムの探索 | ||
| 6.A.3 | PowerShellはGet-NetUser を実行 | T1087 | アカウントの探索 | ||
| 7 | 水平展開(CFO) | 7.A.1 | tiny.exeはIP192.168.0.4からplink.exeをダウンロード | T1105 | 侵入ツールの転送 |
| 7.A.2 | tiny.exeはcmd.exeを生成 | T1059 | コマンドおよびスクリプトインタプリタ | ||
| 7.A.3 | plink.exeはSSHプロトコルを経由してIP192.168.0.4にデータを送信 | T1071 | アプリケーション層プロトコル | ||
| 7.A.4 | ユーザー「kmitnick」がbankdc(IP10.0.0.4)にログオン | T1078 | 有効なアカウント | ||
| 7.A.5 | TCPポート3389経由のローカルホストからのRDPセッション生成 | T1021 | リモートサービス | ||
| 7.B.1 | powershell.exeはqwinsta / server:cfoを実行 | T1033 | システム所有者/ユーザーの探索 | ||
| 7.B.2 | ユーザー「kmitnick」がcfo(IP10.0.0.5)にログオン | T1078 | 有効なアカウント | ||
| 7.B.3 | TCPポート3389経由IP10.0.0.4からIP10.0.0.5へのRDPセッション | T1021 | リモートサービス | ||
| 7.C.1 | scp.exeはIP192.168.0.4からJava-Update.exeをダウンロード | T1105 | 侵入ツールの転送 | ||
| 7.C.2 | dirでC:\Users\Publicの内容をリスト表示 | T1083 | ファイルとディレクトリの探索 | ||
| 7.C.3 | cmd.exeはIP192.168.0.4からJava-Update.vbsをダウンロード | T1105 | 侵入ツールの転送 | ||
| 7.C.4 | Java-Updateサブキーを以下に追加 HKLM\Software\Microsoft\Windows\ CurrentVersion\Run |
T1547 | ブートまたはログオン時の自動実行 | ||
| 8 | 実行 | 8.A.1 | wscript.exeはJava-Update.exeを生成 | T1059 | コマンドおよびスクリプトインタプリタ |
| 8.A.2 | Java-Update.exeはHTTPSプロトコル経由でIP192.168.0.4にデータを送信 | T1071 | アプリケーション層プロトコル | ||
| 8.A.3 | Java-Update.exeはHTTPSプロトコル経由でIP192.168.0.4にデータを送信 | T1573 | 暗号化されたチャネル | ||
| 9 | 収集 | 9.A.1 | Java-Update.exeはIP192.168.0.4からDefenderUpgradeExec.exeをダウンロード | T1105 | 侵入ツールの転送 |
| 9.A.2 | DefenderUpgradeExec.exeはSetWindowsHookExAPIをコール | T1056 | 入力キャプチャ | ||
| 9.A.3 | Java-Update.exeは、CreateRemoteThreadを使用してexplorer.exeにインジェクション | T1055 | プロセスインジェクション | ||
| 9.A.4 | explorer.exeはGdi32.dllからCreateCompatibleBitmapAPIをコール | T1113 | スクリーンキャプチャ | ||
| 9.A.5 | explorer.exeはIP192.168.0.4にC:\Users\jsmith\AppData\Local\Temp\Klog2.txtを読み込み | T1005 | ローカルシステムのデータ取得 | ||
| 9.B.1 | explorer.exeはIP192.168.0.4からinfosMin48.exeをダウンロード | T1105 | 侵入ツールの転送 | ||
| 9.B.2 | infosMin48.exeは、vaultcli.dllからVaultEnumerateItemsAPIをコール | T1555 | パスワードストアからの資格情報 | ||
| 9.B.3 | powershell.exeは、C:\Users\jsmith\AppData\Local\Temp\からファイルを削除 | T1070 | ホストでのインジケーターの削除 | ||
| 10 | VNCの永続性 | 10.A.1 | explorer.exeはIP192.168.0.4からtightvnc-2.8.27-gpl-setup-64bit.msiをダウンロード | T1105 | 侵入ツールの転送 |
| 10.A.2 | explorer.exeはIP192.168.0.4からvnc-settings.regをダウンロード | T1105 | 侵入ツールの転送 | ||
| 10.A.3 | netshでTCPポート5900のサービスホストルールを追加 | T1562 | 防御の阻害 | ||
| 10.A.4 | msiexec.exeはtvncontrolサブキーを以下に追加 HKLM\Software\Microsoft\Windows\ CurrentVersion\Run |
T1547 | ブートまたはログオン時の自動実行 | ||
| 10.A.5 | 以下にサブキーを追加 HKLM\Software\TightVNC\Server |
T1112 | レジストリの変更 | ||
| 10.A.6 | Java-Updateサブキーを以下から削除 HKLM\Software\Microsoft\Windows\ CurrentVersion\Run |
T1112 | レジストリの変更 | ||
| 10.B.1 | tvnserver.exeはTCPポート5900経由でIP192.168.0.4からの接続をアクセプト | T1219 | リモートアクセスソフトウェア |
*2.A.1、2.A.3は欠番になった模様。
シナリオ2:「FIN7」によるクレジットカード情報窃盗
| 大項目 | ID | 検知対象の行動 | Att&ck ID | Att&ck 内容 | |
| 11 | 初期侵入 | 11.A.1 | ユーザーが2-list.rtfをクリックすることにより、explorer.exeがwinword.exeを生成 | T1204 | ユーザによる実行 |
| 11.A.2 | 2-list.rtfはディスクに出力される埋め込みlnkペイロードを含む | T1027 | 難読化されたファイルまたは情報 | ||
| 11.A.3 | winword.exeはmshta.exeを生成 | T1218 | 署名付きバイナリプロキシ実行 | ||
| 11.A.4 | mshta.exeは埋め込まれたVBScriptペイロードを実行 | T1059 | コマンドおよびスクリプトインタプリタ | ||
| 11.A.5 | mshta.exeは2-list.rtf内に埋め込まれたテキストをJSペイロードにアセンブル | T1140 | ファイルまたは情報の難読化/デコード | ||
| 11.A.6 | mshta.exeは正規のwscript.exeのコピーをAdb156.exeとして作成 | T1036 | 偽装 | ||
| 11.A.7 | winword.exeはverclsid.exeを生成し、VBE7.DLL、VBEUI.DLL、およびVBE7INTL.DLLをロード | T1559 | プロセス間通信 | ||
| 11.A.8 | mshta.exeはtaskschd.dllをロードし、5分で実行するスケジュールされたタスクを作成 | T1053 | スケジュールされたタスク/ジョブ | ||
| 12 | 遅延させたマルウェアの実行 | 12.A.1 | svchost.exe(-sスケジュール)はAdb156.exeを生成 | T1053 | スケジュールされたタスク/ジョブ |
| 12.A.2 | Adb156.exeはscrobj.dllをロードし、Jscriptを使用してsql-rat.jsを実行 | T1059 | コマンドおよびスクリプトインタプリタ | ||
| 12.A.3 | Adb156.exeはMSSQLトランザクションを介してIP192.168.0.6にデータを送信 | T1071 | アプリケーション層プロトコル | ||
| 12.A.4 | Adb156.exeはWin32_NetworkAdapterConfigurationのWMIクエリを作成 | T1016 | システムネットワーク構成の検出 | ||
| 12.A.5 | Adb156.exeはWin32_LogicalDiskのWMIクエリを作成 | T1082 | システム情報の探索 | ||
| 12.B.1 | Adb156.exeはIP192.168.0.6からstager.ps1をダウンロード | T1105 | 侵入ツールの転送 | ||
| 13 | ターゲットの評価 | 13.A.1 | Adb156.exeはWin32_ProcessのWMIクエリを作成 | T1057 | プロセスの探索 |
| 13.A.2 | Adb156.exeはcmd.exeを生成 | T1059 | コマンドおよびスクリプトインタプリタ | ||
| 13.A.3 | cmd.exeはnet viewを実行 | T1135 | ネットワーク共有の探索 | ||
| 13.A.4 | Adb156.exeはWin32_BIOSのWMIクエリを作成 | T1497 | 仮想化/サンドボックス回避 | ||
| 13.A.5 | Adb156.exeはUSERNAME環境変数をクエリ | T1033 | システム所有者/ユーザーの探索 | ||
| 13.A.6 | Adb156.exeはCOMPUTERNAME環境変数をクエリ | T1082 | システム情報の探索 | ||
| 13.A.7 | |||||
| 13.A.8 | Adb156.exeはWin32_ComputerSystemのWMIクエリを作成 | T1016 | システムネットワーク構成の検出 | ||
| 13.A.9 | Adb156.exeはWin32_OperatingSystemのWMIクエリを作成 | T1082 | システム情報の探索 | ||
| 13.B.1 | Adb156.exeはMSSQLトランザクションを介してIP192.168.0.6からtakeScreenshot.ps1をダウンロード | T1105 | 侵入ツールの転送 | ||
| 13.B.2 | Adb156.exeはcmd.exeを生成 | T1059 | コマンドおよびスクリプトインタプリタ | ||
| 13.B.3 | cmd.exeはpowershell.exeを生成 | T1059 | コマンドおよびスクリプトインタプリタ | ||
| 13.B.4 | powershell.exeはCopyFromScreen()を実行 | T1113 | スクリーンキャプチャ | ||
| 13.B.5 | Adb156.exeはMSSQLトランザクションを介してimage.pngを読み取り、IP192.168.0.6にアップロード | T1041 | コマンドアンドコントロールチャネルを介した抽出 | ||
| 14 | インタラクティブツールキットの設置 | 14.A.1 | Adb156.exeはcmd.exeを生成 | T1059 | コマンドおよびスクリプトインタプリタ |
| 14.A.2 | cmd.exeはpowershell.exeを生成 | T1059 | コマンドおよびスクリプトインタプリタ | ||
| 14.A.3 | powershell.exeは埋め込まれたDLLペイロードをデコード | T1140 | ファイルまたは情報の難読化/デコード | ||
| 14.A.4 | powershell.exeはInvoke-Expression(IEX)を使用してデコードされたペイロードを実行 | T1059 | コマンドおよびスクリプトインタプリタ | ||
| 14.A.5 | powershell.exeはネットワーク接続からメモリにシェルコードをロード | T1140 | ファイルまたは情報の難読化/デコード | ||
| 14.A.6 | powershell.exeはHTTPSプロトコルを経由してIP192.168.0.4にデータを送信 | T1071 | アプリケーション層プロトコル | ||
| 14.A.7 | powershell.exeはHTTPSプロトコルを経由してIP192.168.0.4にデータを送信 | T1573 | 暗号化されたチャネル | ||
| 15 | 権限昇格 | 15.A.1 | powershell.exeはCreateToolhelp32Snapshot()APIをコール | T1057 | プロセスの探索 |
| 15.A.2 | powershell.exeはIP192.168.0.4からsamcat.exeをダウンロード | T1105 | 侵入ツールの転送 | ||
| 15.A.3 | powershell.exeはIP192.168.0.4からuac-samcats.ps1をダウンロード | T1105 | 侵入ツールの転送 | ||
| 15.A.4 | powershell.exeは(別の)powershell.exeを生成 | T1059 | コマンドおよびスクリプトインタプリタ | ||
| 15.A.5 | powershell.exeは、高権限プロセスとしてsamcat.exeを生成 (注:環境の構成により、攻撃者のプロセスの権限はデフォルトで高くなっている。このサブステップは、プロセスの整合性レベルに関連するデータの検出と、UACバイパスの実行されたメカニズムを評価するために実行された。) |
T1548 | 権限コントロールメカニズムの悪用 | ||
| 15.A.6 | samcat.exeがLSASSからSAMを開いて読み取り | T1003 | OSの認証情報取得 | ||
| 15.A.7 | powershell.exeはGetIpNetTable()APIをコール | T1016 | システムネットワーク構成の検出 | ||
| 15.A.8 | powershell.exeはDNS(ポート53)よりDC(IP10.0.1.4)にクエリを実行するnslookup.exeを生成 | T1018 | リモートシステムの探索 | ||
| 16 | アクセス拡大 | 16.A.1 | powershell.exeはIP192.168.0.4からpaexec.exeをダウンロード | T1105 | 侵入ツールの転送 |
| 16.A.2 | powershell.exeはIP192.168.0.4からhollow.exeをダウンロード | T1105 | 侵入ツールの転送 | ||
| 16.A.3 | powershell.exeはcmd.exeを生成 | T1059 | コマンドおよびスクリプトインタプリタ | ||
| 16.A.4 | ユーザー「kmitnick」がitadmin(IP10.0.1.6)にログオン | T1078 | 有効なアカウント | ||
| 16.A.5 | 管理者共有アクセスを伴うポート135または445を用いたIP10.0.1.5からIP10.0.1.6へのSMBセッション | T1021 | リモートサービス | ||
| 16.A.6 | Windowsサービスがhollow.exeを実行するPAExec-{PID}-HOTELMANAGER.exeをスタート | T1569 | システムサービス | ||
| 16.A.7 | hollow.exeはsvchost.exeを生成し、NtUnmapViewOfSection APIでメモリイメージのマップを解除 | T1055 | プロセスインジェクション | ||
| 16.A.8 | svchost.exeはHTTPSプロトコルを経由して192.168.0.4にデータを送信 | T1071 | アプリケーション層プロトコル | ||
| 16.A.9 | svchost.exeはHTTPSプロトコルを経由して192.168.0.4にデータを送信 | T1573 | 暗号化されたチャネル | ||
| 17 | ユーザーのモニタリングを設定 | 17.A.1 | svchost.exeはIP192.168.0.4(ポート443)からsrrstr.dllをダウンロード | T1105 | 侵入ツールの転送 |
| 17.A.2 | srrstr.dllは正規のWindowsシステム保護構成ライブラリではない | T1036 | 偽装 | ||
| 17.A.3 | svchost.exeはcmd.exeを生成 | T1059 | コマンドおよびスクリプトインタプリタ | ||
| 17.A.4 | SystemPropertiesAdvanced.exeは不正なsrrstr.dll内のコードを実行 | T1574 | 実行フローのハイジャック | ||
| 17.A.5 | rundll32.exeはHTTPSプロトコルを経由して192.168.0.4にデータを送信 | T1071 | アプリケーション層プロトコル | ||
| 17.A.6 | rundll32.exeはHTTPSプロトコルを経由して192.168.0.4にデータを送信 | T1573 | 暗号化されたチャネル | ||
| 18 | ユーザーのモニタリング | 18.A.1 | svchost.exeはCreateRemoteThreadを利用してexplorer.exeにインジェクション | T1055 | プロセスインジェクション |
| 18.A.2 | explorer.exeはGdi32.dllからCreateCompatibleBitmapAPIをコール | T1113 | スクリーンキャプチャ | ||
| 18.A.3 | explorer.exeはCreateRemoteThreadを利用してmstsc.exeにインジェクション | T1055 | プロセスインジェクション | ||
| 18.A.4 | mstsc.exeはGetAsyncKeyState、GetKeyState、GetKeyboardStateなどのAPIをコール | T1056 | 入力キャプチャ | ||
| 19 | Shimの永続性を設定 | 19.A.1 | ユーザー「kmitnick」がアカウンティング(IP10.0.1.7)にログオン | T1078 | 有効なアカウント |
| 19.A.2 | TCPポート3389を経由したIP10.0.1.6からIP10.0.1.7へのセッション | T1021 | リモートサービス | ||
| 19.A.3 | itadmin(IP10.0.1.6)は攻撃者のインフラからのRDPトラフィックを中継 | T1090 | プロキシ | ||
| 19.B.1 | powershell.exeはpowershell.exeを生成 | T1059 | コマンドおよびスクリプトインタプリタ | ||
| 19.B.2 | powershell.exeはbase64でエンコードされたコマンドを実行 | T1027 | 難読化されたファイルまたは情報 | ||
| 19.B.3 | powershell.exeはIP192.168.0.4からdll329.dllをダウンロード | T1105 | 侵入ツールの転送 | ||
| 19.B.4 | powershell.exeはIP192.168.0.4からsdbE376.tmpをダウンロード | T1105 | 侵入ツールの転送 | ||
| 19.B.5 | sdbinst.exeはsdbE376.tmp shim をインストール | T1546 | イベントトリガーの実行 | ||
| 20 | 支払い情報の窃盗 | 20.A.1 | AccountingIQ.exeはHKLM\Software\ Microsoft\Windows NT\CurrentVersion\ AppCompatFlags\InstalledSDB\ にクエリを実行し、dll329.dllを読み込む | T1546 | イベントトリガーの実行 |
| 20.A.2 | AccountingIQ.exeはCreateRemoteThread APIを使用してSyncHost.exeにインジェクション | T1055 | プロセスインジェクション | ||
| 20.A.3 | rundll32.exeはHTTPSプロトコルを経由してIP192.168.0.4にデータを送信 | T1071 | アプリケーション層プロトコル | ||
| 20.A.4 | rundll32.exeはHTTPSプロトコルを経由してIP192.168.0.4にデータを送信 | T1573 | 暗号化されたチャネル | ||
| 20.B.1 | rundll32.exeはIP192.168.0.4からdebug.exeをダウンロード | T1105 | 侵入ツールの転送 | ||
| 20.B.2 | debug.exeはCreateToolhelp32SnapshotAPIをコール | T1057 | プロセスの探索 | ||
| 20.B.3 | rundll32.exeはIP192.168.0.4から7za.exeをダウンロード | T1105 | 侵入ツールの転送 | ||
| 20.B.4 | 7za.exeはC:\Users\Public\log.7zを作成 | T1560 | 収集データのアーカイブ | ||
| 20.B.5 | rundll32.exeはlog.7zを読み取り、192.168.0.4にアップロード | T1041 | コマンドアンドコントロールチャネルを介した抽出 |
*13.A.7は欠番になった模様。