Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Microsoft Defender for Endpoint でインシデント対応する上で知っておきたい Windows の知識

Kunii, Suguru
February 14, 2024
3.7k

Microsoft Defender for Endpoint でインシデント対応する上で知っておきたい Windows の知識

2024年2月13日開催 第8回EMS勉強会スライド

Kunii, Suguru

February 14, 2024
Tweet

Transcript

  1. 2 自己紹介 • 国井 傑 (くにい すぐる) • 株式会社エストディアン 所属

    • 公立大学法人会津大学 客員教授 • マイクロソフト認定トレーナー (1997~2025) • Microsoft MVP for Security (2006~2024) • https://AzureAD.net • 主な職務・実績 • Microsoft 365 セキュリティ/インフラ管理に関わるトレーニング • テクニカル ライター (日経 BP, 技術評論社, @IT 等)
  2. 14 schtasks.exe ってマルウェア? Multi-stage incident involving Execution & Defense evasion

    on one endpoint より いいえ。タスクスケジューラのコマンドです。 悪性ファイルの自動実行を補助するために使います。
  3. 16 類似のプログラムたち • ASEP • Auto Start Entry Point の略で

    Windows 起動時に同時に起動するプログラムを 指定するレジストリの領域 • Autoruns プログラム (Windows Sysinternals) から確認可能 • sc.exe • サービスの登録・実行などを管理するコマンドベースのプログラム • 実行方法 sc.exe create badservice binpath=c:¥users¥admin¥downloads¥malware.exe • wmic.exe • コマンドベースで WMI の操作を行うプログラムで、任意のプログラムの遠隔実行が可能 • 実行方法 wmic.exe /node:dc01 process call create “cmd.exe /c netsh advfirewall set allprofiles state off”
  4. 18 rundll32.exe ってマルウェア? Suspicious files incident including Ransomware on one

    endpoint より いいえ。DLL をロードするためのプログラムです。 こんな感じで実行します。 C:¥Windows¥System32¥rundll32.exe C:¥Windows¥System32¥shell32.dll,Contr ol_RunDLL
  5. 19 類似のプログラムたち • dllhost.exe • DLL内の関数を呼び出すためのプログラム • 実行方法 dllhost.exe xxx.dll

    • regsvr32.exe • DLL または ActiveX コントロールをレジストリに登録し、 後に実行可能な状態にするためのプログラム • 実行方法 regsvr32 xxx.dll /s
  6. 21 svchost.exe ってマルウェア? Suspicious files incident including Ransomware on one

    endpoint より いいえ。サービス実行を管理するためのプログラムで、次のような書式で命令します svchost.exe -k サービス(グループ)名 -s サービスグループ内の特定のサービス名