認証サーバのログ分析

/セキュリティ

認証サーバのログ分析

本記事では、JPCERTが公開したActive Directory(以下、AD)に対する攻撃の検知と対策について説明します。ADとは、組織内のリソース(アカウントやパスワードなど)を一元管理するシステムです。

攻撃者が組織内ネットワークを侵害する際には、ADに対する攻撃を行い、ドメイン管理者アカウントなどの高い権限の窃取を試みます。ドメイン管理者アカウントはADが管理する全てのリソースをコントロールすることが可能であるため、窃取に成功した場合は大きな脅威となります。

ADに対する攻撃手法

ADの認証の弱点を悪用して攻撃する代表的な手法を以下に紹介します。

ADの脆弱性の悪用

ADの脆弱性の一例として、MS14-068(Kerberos KDC)があり、これを悪用するとドメインユーザがドメイン管理者権限に昇格できます。インターネット上にこの脆弱性を悪用した攻撃ツールも公開されており、ドメインユーザの認証情報などが窃取できれば、比較的容易にドメイン管理者権限を獲得することができます。

端末に保存された認証情報の悪用

WindowsOSのメモリなどには、端末上で使用したユーザの認証情報(パスワード情報、認証チケットなど)が保存されています。侵害した端末のローカル管理者権限を窃取した攻撃者は、攻撃ツールを使用して、メモリなどに保存されている認証情報を窃取することができます。

ローカル管理者アカウントの悪用

複数のコンピュータで共通のアカウント名やパスワードを設定している場合、1 台のコンピュータでローカル管理者アカウントのパスワードが窃取され、その中にドメイン管理者やサーバ管理者のコンピュータがあれば、特権アカウントの認証情報を窃取される可能性があります。

ログによる攻撃検知

ADに対する攻撃の検知に有効なイベントログの確認方法について、以下に紹介します。

イベントログの調査

イベントログの調査により、ADに対する攻撃や不審な活動を検知できる可能性があります。

調査内容 調査方法 対処方法
MS14-068の脆弱性を悪用した攻撃 イベントID4769で、エラーコードが 「0xf」の場合、攻撃を受けた可能性がある コンピュータは侵害されている可能性があるため調査
Golden Ticket / Silver Ticket の不正使用 イベントID4624/4672で、アカウントドメインに「eo.oe.kiwi : )」などの文字列が記録された場合、不正使用の可能性がある コンピュータは侵害されている可能性があるため、ネットワークから隔離して調査
不審なタスク作成 イベントID4698、タスクスケジューラ、「C:\Windows\System32\Tasks\」配下などのファイルで不審なタスクを確認 コンピュータは侵害されている可能性があるため調査
イベントログ消去 イベントID1102(イベントログ消去)が見つかった場合、正規の消去か確認 該当するコンピュータを調査

  認証ログの調査

イベントログの認証イベントに記録される認証要求元の端末やアカウント名などを調査することで、アカウントの悪用を検知できる可能性があります。

調査内容 調査方法 対処方法
特権の割り当ての妥当性 イベントID4672のアカウント名に想定外のアカウントが記録されている場合、不正に権限昇格を行った可能性がある 不要な特権が割り当てられていた場合は削除
アカウントを利用した端末の妥当性 イベントID4624/4625/4768/4769/4776で、想定外のアカウントや端末が記録されている場合、侵害されている可能性がある 不要な管理アカウントは削除し、使用する端末を見直す
認証回数・時間帯 イベントID4624/4625/4768/4769/4776で、想定時間外、認証回数の急激な変化、認証失敗の多発など確認された場合、アカウントが侵害されている可能性がある 当該アカウントが使用された端末を調査、認証失敗の多数の原因調査

参考情報

JPCERT コーディネーションセンター
/力学
「/力学」の記事一覧です。
数理の散策路
力学、電磁気・相対論、熱・統計力学、量子力学、物性物理、機械学習、情報処理、金融、物理数学
タイトルとURLをコピーしました