マルウェアに感染しているのかの調査について教えて下さい。

T.K 0 評価のポイント
2024-09-19T04:51:56.0866667+00:00

外部からの不正アクセスが疑われるWindows11の端末があるため、

マルウェアに感染しているのかの調査を行いたいのですが、

どのように進めていくとよいものか分からないです。

これまで、調べたことは下の通りですが、

本当に外部から不正アクセスされていたのか、

マルウェアに感染しているのか、

何か、不正に設定変更されているのか確認できるとよいのですが、

どのような手順や方法で調査を進めていくとよいものか、教えて下さい。

▢調べたこと

イベントビューワーのセキュリティを見てみたところ

◯イベントid:4625を見ると

・ログオンの失敗が

 1秒間で10回以上発生することもあり

いずれも

・ログオンタイプは、3(ネットワーク経由のログオン)となっており

・プロセス情報は

 呼び出し側プロセスID:0x0

 呼び出し側プロセス名:-

・ネットワーク情報は

 ソースポート:0

・詳細な認証情報

 ログオンプロセスは、NtLmSsp

 認証パッケージは、NTLM

として

ユーザー名を辞書攻撃のように変えながら

ログオンを試行しており

・ネットワーク情報

 ソースネットワークアドレスについては

ある特定の外部の6つのIPアドレスのいずれかになっていました。

そのほか

・イベントid:5379を見ると

 20分に1回など

 資格情報の読み取りも頻繁に実行している感じです。

Windows
Windows
パーソナル コンピューター、タブレット、ノート PC、電話、モノのインターネット デバイス、自己完結型 Mixed Reality ヘッドセット、大規模なコラボレーション画面、その他のデバイスにわたって実行される Microsoft オペレーティング システムのファミリ。
75 件の質問

2 件の回答

並べ替え方法: 最も役に立つ
最も役に立つ 新しい順 古い順
  1. Yanhong Liu 9,530 評価のポイント Microsoft ベンダー
    2024-09-20T05:50:41.5166667+00:00

    こんにちは

    Q&Aフォーラムに投稿していただきありがとうございます。

    通常、あなたはまだあなたのコンピュータを使用して、あなたのコンピュータはまだ健康であることを意味します、あなたが望むなら、この無限のログオン要求を停止する:

    1.イベントID 4625、4771、または4776で送信元IPを検索し、ファイアウォールでこのIPをブロックできます

    2.IPアドレスを変更できるため、IPアドレスが見つからないため、攻撃が停止します

    次の方法を使用して、PCからマルウェアをスキャンできます。

    1. Remove malware from your Windows PC - Microsoft Support
    2. Microsoft Safety Scanner Download - Microsoft Defender for Endpoint | Microsoft Learn
    3. OSを再インストールします

    よろしくお願いいたします

    ヤンホン

    =====================================

    回答が役に立った場合は、「回答を受け入れる」をクリックして賛成票を投じてください

    0 件のコメント
  2. T.K 0 評価のポイント
    2024-09-27T00:18:24.3933333+00:00

    皆さま、アドバイスありがとうございます。

    説明の足りないないところが、あることに気づくことができましたので

    以下、補足説明させて頂きます。

    現在は、専門のセキュリティ ベンダーに相談し、見積依頼しておるところで

    調査結果によって、対応と再発を防止するための方策を取っていきたいと考えており、

    ネットワークの通信ログについては、

    UTMとしてのFortinet のログや

    VPN として利用することもあるCisco AnyConnectに関するログを

    導入サポート頂いた業者に調査頂いたところ、

    ある特定の外部の6つのIPアドレスについては、見つかっていない状況です。

    ▢補足説明

    ◯調査対象の端末は、2台で、

     アクティブディレクトリ環境で使用して

     ほかに参加しているPCとしては、他に合計280台あります。

    ◯この2台の端末は、共に外部に公開しているPCではなく、

     主にLAN内で使用するPCであるため、

     イベントビューワーのセキュリティのログに

     LANの外のネットワークからアクセスを受けたようなログが残るのは、

     マルウェアに感染して、

     不正アクセスを受ける状況になっているためではないかという

     疑いを持ちました。

    ◯この2台の端末のイベントビューワーのセキュリティをログを

     見ることになった経緯として、

    ・ここ1ヶ月くらいで、あるユーザーアカウントにおいて

     たびたびロックアウトが発生するようになっており

     誰も使用していないはずの早朝5時前にロックアウトすることもあったので

     不審に思いました。

    ・そのため、ドメインコントローラーで、ログオンに関するログを取って調べてみたところ

     高速で、ユーザー名を変えながらログオンしようとしている

     辞書攻撃によるログオンの失敗と思われるなログが見つかりました。

    ・そこで使用されているユーザー名に

     ロックアウトするようになったユーザーアカウントが含まれておったため

     この状況が、ロックアウトを引き起こしていると判断しました。

    ・ログに記録されるホスト名から

     辞書攻撃によるログオンの失敗を引き起こしている

     端末は2台ありましたので、

     その2台を、回収、隔離したところ、

     辞書攻撃によるログオンの失敗のようなログはなくなり、

     ロックアウトすることはなくなりました。

    ・そして、回収した2台のPCの

     イベントビューワーのセキュリティのログを見てみたとなり

     回収した2台の端末の

     イベントビューワーのセキュリティのログの

     イベントid:4625のログオンの失敗の記録と

     ドメインコントローラーでのログオン失敗の記録は、

     一致しているような感じでした。

    0 件のコメント

お客様の回答

回答は、質問作成者が [承諾された回答] としてマークできます。これは、ユーザーが回答が作成者の問題を解決したことを知るのに役立ちます。