お知らせ

DTCY劉クリスが共著者として第62回ICSS研究発表会において論文を発表

共著論文「カスタマイズされたPowerShellによるファイルレス攻撃のアーティファクト保存手法」

2022年3月13日から3月14日にかけて開催された第62回情報通信システムセキュリティ研究会(ICSS)にて発表された論文「カスタマイズされたPowerShellによるファイルレス攻撃のアーティファクト保存手法」において、DTCYスペシャリストリーダー劉クリスが共著者として論文執筆に携わりました。

研究成果の発表:カスタマイズされたPowerShellによるファイルレス攻撃のアーティファクト保存手法

学会・研究会:第62回情報通信システムセキュリティ研究会(ICSS)

著者:木村将人(立命館大)・劉クリス(デロイト トーマツ サイバー)・上原哲太郎(立命館大)

URL:https://ken.ieice.org/ken/paper/20230313mCsE/ (外部サイト)

論文摘要:

多くの攻撃者は、標的マシンにファイルを生成せずに攻撃を行うファイルレス攻撃において、PowerShellを利用する。PowerShellを用いたファイルレス攻撃によるインシデントが発生した場合、その調査手法として主にログ解析が用いられる。PowerShellの操作に関わるログは、PowerShellに標準に備わるログシステムにより、Windowsイベントログの1つとして記録される。ログ解析を確実に行うためには、PowerShellログシステムによって記録されるログを保護する必要がある。

一方で、多くの攻撃者は、攻撃に関わるアーティファクトを標的マシンに極力残さないアンチ・フォレンジック手法を攻撃に組み込む。そのため、既存のPowerShellログシステムにおいて、ログ解析に必要なログを確実に保全できない可能性がある。そこで、本研究ではPowerShellを用いたファイルレス攻撃を想定し、PowerShell内部に独自ログシステムを組み込み、直接ローカル外ログサーバにログを保全する手法を提案する。

お役に立ちましたか?