| Item type |
SIG Technical Reports(1) |
| 公開日 |
2023-03-06 |
| タイトル |
|
|
タイトル |
カスタマイズされたPowerShellによる ファイルレス攻撃のアーティファクト保存手法 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Preservation Techniques of Fileless Attack Artifacts using Customized PowerShell |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
ICSS |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_18gh |
|
資源タイプ |
technical report |
| 著者所属 |
|
|
|
立命館大学大学院情報理工学研究科 |
| 著者所属 |
|
|
|
デロイトトーマツ サイバー合同会社 |
| 著者所属 |
|
|
|
立命館大学情報理工学部 |
| 著者所属(英) |
|
|
|
en |
|
|
Graduate School of Infomation Science and Engineering, Ritsumeikan University |
| 著者所属(英) |
|
|
|
en |
|
|
Deloitte Tohmatsu Cyber LLC |
| 著者所属(英) |
|
|
|
en |
|
|
Graduate School of Infomation Science and Engineering, Ritsumeikan University |
| 著者名 |
木村, 将人
劉, クリス
上原, 哲太郎
|
| 著者名(英) |
Masahito, Kimura
Chris, Liu
Tetsutaro, Uehara
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
多くの攻撃者は,標的マシンにファイルを生成せずに攻撃を行うファイルレス攻撃において,PowerShell を利用する.PowerShell を用いたファイルレス攻撃によるインシデントが発生した場合,その調査手法として主にログ解析が用いられる.PowerShell の操作に関わるログは,PowerShell に標準に備わるログシステムにより,Windows イベントログの 1 つとして記録される.ログ解析を確実に行うためには,PowerShell ログシステムによって記録されるログを保護する必要がある.一方で,多くの攻撃者は,攻撃に関わるアーティファクトを標的マシンに極力残さないアンチ・フォレンジック手法を攻撃に組み込む.そのため,既存の PowerShell ログシステムにおいて,ログ解析に必要なログを確実に保全できない可能性がある.そこで,本研究では PowerShell を用いたファイルレス攻撃を想定し, PowerShell 内部に独自ログシステムを組み込み,直接ローカル外ログサーバにログを保全する手法を提案する. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
Many attackers use PowerShell in fileless attacks that do not generate files on the target machine. When a fileless attack incident using PowerShell occurs, log analysis is the main method used to investigate the incident. Logs related to PowerShell operations are recorded as one of the Windows event logs by the log system that comes standard with PowerShell. In order to ensure log analysis, it is necessary to protect the logs recorded by the PowerShell logging system. On the other hand, many attackers incorporate anti-forensic techniques into their attacks that leave as few artifacts as possible on the target machine. Therefore, existing PowerShell logging systems may not be able to reliably preserve logs necessary for log analysis. Therefore, we propose a method to preserve logs directly to an off-local log server by building an original log system inside PowerShell for file-less attacks using PowerShell. |
| 書誌レコードID |
|
|
収録物識別子タイプ |
NCID |
|
収録物識別子 |
AA12628305 |
| 書誌情報 |
研究報告セキュリティ心理学とトラスト(SPT)
巻 2023-SPT-50,
号 16,
p. 1-6,
発行日 2023-03-06
|
| ISSN |
|
|
収録物識別子タイプ |
ISSN |
|
収録物識別子 |
2188-8671 |
| Notice |
|
|
|
SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc. |
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJ-SPT23050016.pdf (2.0 MB)
