著者

松田 亘 藤本 万里子 満永 拓邦

雑誌

コンピュータセキュリティシンポジウム2017論文集

巻号頁・発行日

vol.2017, no.2, 2017-10-16

---

標的型攻撃において,組織に侵入した攻撃者はmimikatzという攻撃ツールを使って組織内で横展開を試みることが多い.mimikatzを使う攻撃では,正規ユーザか攻撃者によるアクセスかを判別するのが難しいという問題がある.そこで,Sysmonを使用して,コンピュータ上でmimikatzがロードしたDLLを検知する研究が行われているが,特定のWindowsやmimikatzのバージョンのみを対象としているため,実環境では誤検知が発生する可能性がある.本研究では,WindowsやmimikatzのバージョンによってロードされるDLLの違いを網羅的に検証し,誤検知を軽減する手法について調査する.また,分析エンジンであるElasticsearchを用いてログを分析し,効率的に検知する方法についても述べる.