@inproceedings{oai:ipsj.ixsq.nii.ac.jp:00187307,
 author = {松田, 亘 and 藤本, 万里子 and 満永, 拓邦 and Wataru, Matsuda and Mariko, Fujimoto and Takuho, Mitsunaga},
 book = {コンピュータセキュリティシンポジウム2017論文集},
 issue = {2},
 month = {Oct},
 note = {標的型攻撃において，組織に侵入した攻撃者はmimikatzという攻撃ツールを使って組織内で横展開を試みることが多い．mimikatzを使う攻撃では，正規ユーザか攻撃者によるアクセスかを判別するのが難しいという問題がある．そこで，Sysmonを使用して，コンピュータ上でmimikatzがロードしたDLLを検知する研究が行われているが，特定のWindowsやmimikatzのバージョンのみを対象としているため，実環境では誤検知が発生する可能性がある．本研究では，WindowsやmimikatzのバージョンによってロードされるDLLの違いを網羅的に検証し，誤検知を軽減する手法について調査する．また，分析エンジンであるElasticsearchを用いてログを分析し，効率的に検知する方法についても述べる．, In targeted attacks, attackers who have intruded into an office network often use a tool called "mimikatz" to steal credentials in order to attempt to perform lateral movement. It is difficult to judge whether an access is made by a legitimate user or an attacker when mimikatz used. As a breakthrough, some methods have been proposed which detect DLLs loaded by mimikatz using Sysmon. However, false detection can be caused because they are tested on the specific Windows and mimikatz versions. This presentation proposes methods to reduce false detection rate by investigating difference among Windows and mimikatz versions. Furthermore, a technique using Elasticsearch (an analysis engine) to effectively detect compromised machines will be introduced.},
 publisher = {情報処理学会},
 title = {Sysmonを用いたmimikatzの悪用の検知},
 volume = {2017},
 year = {2017}
}