JPCERT/CCは12月2日、分析センターだより「攻撃者が悪用するWindowsコマンド(2015-12-02)」を公開した。発表では、攻撃者が侵入したWindows上で使用するコマンドを明らかにするとともに、攻撃による影響を低減する方法を示している。
JPCERT/CCによると、攻撃者が感染端末の情報収集によく使用するコマンドのうち、最も多かったのは「tasklist」だったという。攻撃者は、tasklistやver、ipconfig、systeminfoなどのコマンドにより、ネットワーク情報やプロセス情報、OS情報などを収集して、どのような端末に感染したのかを調査している。
初期調査で悪用される上位10のコマンド 資料:JPCERT/CC |
また、機密情報の探索やネットワーク内のリモート端末の探索においては、dirが最もよく使用されていることがわかった。攻撃者は、ファイルを探索するためにdirおよびtypeを使い、ネットワークの探索にはnetコマンドが使っている。
探索活動で悪用される上位10のコマンド 資料:JPCERT/CC |
ネットワーク内のリモート端末への侵入・感染を拡大するフェーズでは、atが最もよく使われている。atやwmicは、リモート端末上でマルウエアを実行するために利用され、wmicコマンドで引数を指定することにより、リモート端末上のコマンドを実行することができる。
感染拡大で悪用される上位10のコマンド 資料:JPCERT/CC |
こうしたWindowsのコマンドの中には、ユーザーが使用しないコマンドが含まれている。そうしたコマンドをAppLockerやソフトウェア制限ポリシーを用いて実行を制限することで、攻撃者の活動を抑えることができるという。
AppLockerを有効にすると、設定で指定されたWindowsコマンドが実行された、または実行しようとして拒否された事象がイベントログに記録されるようになり、マルウェアに感染した後に攻撃者が実行したWindowsコマンドを調査することにも活用できる。
|
AppLockerで制限されたプロセスのログ |
