一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は2日、PCへ不正アクセスする攻撃者が使うWindowsコマンドの調査結果を公開した。通常の利用者が使うWindowsコマンドの集合と、攻撃者が使うWindowsコマンドの集合が大きくずれていた場合、Windowsコマンドの実行状況を監視/管理することで、攻撃者の動きを検知や抑制に役立てる。
攻撃までの流れには、感染した端末の情報を収集する「初期調査」、感染した端末内の情報やネットワーク内のリモート端末を探索する「探索活動」、感染端末から別の端末へ感染を拡大する「感染拡大」の3フェーズがあるが、JPCERT/CCによると、すべての攻撃フェーズでWindowsコマンドが悪用されるという。攻撃者が使うWindowsコマンドは下表の通り。
初期調査(上位10コマンド)
| 順位 | コマンド | 実行数 |
| 1 | tasklist | 155 |
|---|---|---|
| 2 | ver | 95 |
| 3 | ipconfig | 76 |
| 4 | systeminfo | 40 |
| 5 | net time | 31 |
| 6 | netstat | 27 |
| 7 | whoami | 22 |
| 8 | net start | 16 |
| 9 | qprocess | 15 |
| 10 | query | 14 |
探索活動(上位10コマンド)
| 順位 | コマンド | 実行数 |
| 1 | dir | 976 |
|---|---|---|
| 2 | net view | 236 |
| 3 | ping | 200 |
| 4 | net use | 194 |
| 5 | type | 120 |
| 6 | net user | 95 |
| 7 | net localgroup | 39 |
| 8 | net group | 20 |
| 9 | net config | 16 |
| 10 | net share | 11 |
感染拡大
| 順位 | コマンド | 実行数 |
| 1 | at | 103 |
|---|---|---|
| 2 | reg | 31 |
| 3 | wmic | 24 |
| 4 | wusa | 7 |
| 5 | netsh advfirewall | 4 |
| 6 | sc | 4 |
| 7 | rundll32 | 2 |
