HOME
Lv030

「Lv030」の記事一覧

「C2（コマンド＆コントロール）」通信の「Beaconing」間隔にジッター（揺らぎ）を加える目的はどれか。

正確な等間隔の通信はボット特有の動作として自動検知されやすいため、意図的にランダムな間隔を設ける。

2026年3月18日

厳格な監視がある環境で、ICMPのエコーリクエスト（Ping）のデータセクションに情報を隠して持ち出す手法はどれか。

通常の疎通確認に見える通信のペイロード部分に機密データを埋め込み、少しずつ外部へ送信する。

2026年3月18日

Mimikatzの「sekurlsa::logonpasswords」コマンドで情報が取得できない場合、代わりに確認すべき場所はどこか。

メモリ内にない場合でも、レジストリやディスク上に保存されたサービスアカウント等の機密情報が残ってい…

2026年3月18日

「WMI Event Subscriptions」を永続化に使用する最大のメリットはどれか。

特定のシステムイベントをトリガーにファイルレスでコードを実行できるため、調査が極めて困難になる。

2026年3月18日

「COM Hijacking」において、正規のアプリケーションがオブジェクトを探す際のレジストリ優先順位を悪用する場所はどこか。

ユーザーごとの設定（HKCU）はシステム全体（HKLM）より優先されるため、ここに悪意のあるCLSIDを登録して…

2026年3月18日

Responderを使用して「LLMNR/NBT-NSポイズニング」を成功させた後、次に狙うべき動作はどれか。

ネットワーク上の認証要求を横取りして得たハッシュからパスワードを特定するか、別のサーバーへリレーし…

2026年3月18日

Linux上で「Keytab」ファイルが見つかった場合、どのようなポストエクスプロイトが可能か。

Keytabにはサービスの秘密鍵が含まれており、これがあればkinitを使用して正規のKerberosチケットを取得で…

2026年3月18日

「LoLBins」の一つである「Certutil.exe」をポストエクスプロイトのプロキシとして使用する主な理由はどれか。

標準ツールを使用することで、外部からのツール持ち込みを検知するセキュリティ製品の裏をかくことができ…

2026年3月18日

WindowsのLSASSプロセスが「PPL (Protected Process Light)」で保護されている場合にメモリをダンプする手法はどれか。

BYOVD（脆弱な署名済みドライバの持ち込み）手法により、カーネルメモリを操作して保護を無効化または回避…

2026年3月18日

BloodHoundの「Cypherクエリ」を使用して、特定のユーザーからドメイン管理者への最短経路を検索する理由はどれか。

人間では追いきれない「ユーザー A -> グループ B -> サーバー C の管理者 -> ドメイン管理者」といった連…

2026年3月18日