講演抄録/キーワード |
講演名 |
2023-03-13 14:40
カスタマイズされたPowerShellによるファイルレス攻撃のアーティファクト保存手法 ○木村将人(立命館大)・劉 クリス(DTCY)・上原哲太郎(立命館大) ICSS2022-57 |
抄録 |
(和) |
多くの攻撃者は,標的マシンにファイルを生成せずに攻撃を行うファイルレス攻撃において,PowerShellを利用する.
PowerShellを用いたファイルレス攻撃によるインシデントが発生した場合,その調査手法として主にログ解析が用いられる.
PowerShellの操作に関わるログは,PowerShellに標準に備わるログシステムにより,Windowsイベントログの1つとして記録される.
ログ解析を確実に行うためには,PowerShellログシステムによって記録されるログを保護する必要がある.
一方で,多くの攻撃者は,攻撃に関わるアーティファクトを標的マシンに極力残さないアンチ・フォレンジック手法を攻撃に組み込む.
そのため,既存のPowerShellログシステムにおいて,ログ解析に必要なログを確実に保全できない可能性がある.
そこで,本研究ではPowerShellを用いたファイルレス攻撃を想定し,PowerShell内部に独自ログシステムを組み込み,直接ローカル外ログサーバにログを保全する手法を提案する. |
(英) |
Many attackers use PowerShell in fileless attacks that do not generate files on the target machine.
When a fileless attack incident using PowerShell occurs, log analysis is the main method used to investigate the incident.
Logs related to PowerShell operations are recorded as one of the Windows event logs by the log system that comes standard with PowerShell.
In order to ensure log analysis, it is necessary to protect the logs recorded by the PowerShell logging system.
On the other hand, many attackers incorporate anti-forensic techniques into their attacks that leave as few artifacts as possible on the target machine.
Therefore, existing PowerShell logging systems may not be able to reliably preserve logs necessary for log analysis.
Therefore, we propose a method to preserve logs directly to an off-local log server by building an original log system inside PowerShell for file-less attacks using PowerShell. |
キーワード |
(和) |
デジタル・フォレンジック / ファイルレス攻撃 / PowerShell / ログ保全 / / / / |
(英) |
Digital Forensics / Fileless Attacks / PowerShell / Log Preservation / / / / |
文献情報 |
信学技報, vol. 122, no. 422, ICSS2022-57, pp. 55-60, 2023年3月. |
資料番号 |
ICSS2022-57 |
発行日 |
2023-03-06 (ICSS) |
ISSN |
Online edition: ISSN 2432-6380 |
著作権に ついて |
技術研究報告に掲載された論文の著作権は電子情報通信学会に帰属します.(許諾番号:10GA0019/12GB0052/13GB0056/17GB0034/18GB0034) |
PDFダウンロード |
ICSS2022-57 |