ドメイン環境における EDR を活用した資格情報窃取段階の検知 Posted By ATCP , 2024년 01월 10일 「ドメイン環境における EDR を活用した内部偵察段階の検知」[1] の記事では、攻撃者がアクティブディレクトリ環境に属しているシステムを掌握したあと、内部ネットワークを偵察して情報を収集するプロセスを、EDR を利用して検知する事例を取り上げた。組織のインフラがアクティブディレクトリ(Active Directory)を使用する環境の場合、攻撃者は内部偵察段階を経てドメイン環境の情報を収集し、資格情報を窃取したあと、これをもとにラテラルムーブメントを実行し、最終的にドメイン環境を掌握できる。 ここでは、攻撃者がアクティブディレクトリ環境に属するシステムを掌握したあと、ラテラルムーブメントのために資格情報を窃取する攻撃段階を解説し、EDR を利用してこれを検知する方式を紹介する。攻撃者は資格情報の窃取のために Mimikatz を含む様々なツールも活用することがあり、管理者の不注意を悪用する可能性がある。 このような資格情報窃取の段階はドメインを掌握するための核心的なステップであるため、攻撃者はセキュリティ製品による検知を回避するために様々な手法を用いる。ファイル検知を回避するためにパッキングや難読化を施すことはもちろん、振る舞い検知を回避するために正常なユーティリティである ProcDump…
