Sysmonを用いたmimikatzの悪用の検知

松田, 亘; 藤本, 万里子; 満永, 拓邦; Wataru, Matsuda; Mariko, Fujimoto; Takuho, Mitsunaga

WEKO3

lat lon distance

[[sub_check.contents]]

[[sub_radio.contents]]

Field does not validate

[[sub_attr.contents]]　

インデックスツリー

アイテム

Sysmonを用いたmimikatzの悪用の検知

https://ipsj.ixsq.nii.ac.jp/records/187307

名前 / ファイル	ライセンス	アクション
IPSJCSS2017132.pdf (1.3 MB)	Copyright (c) 2017 by the Information Processing Society of Japan
オープンアクセス

Item type

Symposium(1)

公開日

2017-10-16

タイトル

Sysmonを用いたmimikatzの悪用の検知

タイトル

言語

タイトル

Detecting Mimikatz by Sysmon

言語

jpn

キーワード

主題Scheme

Other

主題

mimikatz，Sysmon，標的型攻撃，横展開，Elasticsearch

資源タイプ

資源タイプ識別子

http://purl.org/coar/resource_type/c_5794

資源タイプ

conference paper

著者所属

東京大学情報学環セキュア情報化社会研究グループ

著者所属

東京大学情報学環セキュア情報化社会研究グループ

著者所属

東京大学情報学環セキュア情報化社会研究グループ

著者所属(英)

The University of Tokyo, Secure information society research group

著者所属(英)

The University of Tokyo, Secure information society research group

著者所属(英)

The University of Tokyo, Secure information society research group

著者名

松田, 亘
藤本, 万里子
満永, 拓邦

著者名(英)

Wataru, Matsuda
Mariko, Fujimoto
Takuho, Mitsunaga

論文抄録

内容記述タイプ

Other

内容記述

標的型攻撃において，組織に侵入した攻撃者はmimikatzという攻撃ツールを使って組織内で横展開を試みることが多い．mimikatzを使う攻撃では，正規ユーザか攻撃者によるアクセスかを判別するのが難しいという問題がある．そこで，Sysmonを使用して，コンピュータ上でmimikatzがロードしたDLLを検知する研究が行われているが，特定のWindowsやmimikatzのバージョンのみを対象としているため，実環境では誤検知が発生する可能性がある．本研究では，WindowsやmimikatzのバージョンによってロードされるDLLの違いを網羅的に検証し，誤検知を軽減する手法について調査する．また，分析エンジンであるElasticsearchを用いてログを分析し，効率的に検知する方法についても述べる．

論文抄録(英)

内容記述タイプ

Other

内容記述

In targeted attacks, attackers who have intruded into an office network often use a tool called "mimikatz" to steal credentials in order to attempt to perform lateral movement. It is difficult to judge whether an access is made by a legitimate user or an attacker when mimikatz used. As a breakthrough, some methods have been proposed which detect DLLs loaded by mimikatz using Sysmon. However, false detection can be caused because they are tested on the specific Windows and mimikatz versions. This presentation proposes methods to reduce false detection rate by investigating difference among Windows and mimikatz versions. Furthermore, a technique using Elasticsearch (an analysis engine) to effectively detect compromised machines will be introduced.

書誌レコードID

識別子タイプ

NCID

Versions

Ver.1

2025-01-20 02:21:06.130462

Show All versions

Cite as

エクスポート

OAI-PMH

JPCOAR
DublinCore
DDI

Other Formats

JSON
BIBTEX

インデックスリンク

インデックスツリー

アイテム

Sysmonを用いたmimikatzの悪用の検知

× 松田, 亘

× 藤本, 万里子

× 満永, 拓邦

× Wataru, Matsuda

× Mariko, Fujimoto

× Takuho, Mitsunaga

Versions

Share

Cite as

エクスポート