### 一般ユーザが誤ってマルウェアを実行し、クライアント端末が乗っ取られたことを想定したテスト ＜ゴール＞ Active Directoryの管理者権限取得 ＜Attack Surface＞ クライアント端末 ＜脅威＞ インターネット上の攻撃者 ＜スコープ＞ サーバセグメント クライアント端末セグメント ＜シナリオ＞ 1.マルウェアに感染したことを想定し、貸与されたクライアント端末およびアカウント①を用いて情報収集を実施し、クライアント端末のローカル管理者権限を取得。 - ドメインの管理者アカウント(Domain Adminに所属するアカウント) - ドメインアカウント - ログオンスクリプトなどのドメイン上の公開リソース - クライアント端末上に存在するアカウント - クライアント端末上のOS・アプリケーションの脆弱性有無 2.クライアント端末でローカル管理者権限を取得し、クライアント端末上に残存する認証情報を調査し、アカウント②の認証情報を取得。 - メモリ上の認証情報 - タスクスケジューラで登録されているスクリプトなどにハードコードされた認証情報 3.取得したアカウント②の認証情報を用いて、ファイルサーバへアクセスし認証情報を調査し、ドメインの管理者アカウントの認証情報を取得。 - 認証情報管理台帳 - プログラムソース - 設計書 - マニュアル 4.取得した認証情報を用いてドメインコントローラーへ管理者権限で侵入。