Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

攻撃者愛用のWindowsコマンドは? - 不要コマンド制限でリスク低減を

JPCERTコーディネーションセンター(JPCERT/CC)は、攻撃者が悪用する「Windowsコマンド」の調査結果を発表した。普段使用しないコマンドであれば、実行を制限することで攻撃の影響を低減できる。

同センターでは、3つの異なる攻撃グループが侵入した「Windows」端末において使用されたコマンドを集計。「初期調査」「探索活動」「感染拡大」の各攻撃フェーズでどのようなコマンドが多く使用されたかをランキングにまとめた。

初期調査の段階は「tasklist」や「ver」などを使用。ネットワーク情報やプロセス情報、OS情報などを収集して、どの端末に感染したかを調査していた。

さらなる探索活動では、「dir」や「type」でファイルを探索。「net view」などのnetコマンドでネットワークを調査。感染を拡大させる段階では「at」コマンドの利用が目立った。端末上でリモートからマルウェアを実行するために利用する。

同センターでは調査結果を受けて、これらコマンドのなかに普段利用しないものがあれば、実行を「AppLocker」やソフトウェア制限ポリシーで制限することで、攻撃者の活動を抑えることができると指摘。

またコマンドをユーザー自身が使用している場合など制限が難しい場合は、「AppLocker」で実行を制限せずに監査のみ行うことも可能であると説明。イベントログより実行結果を確認できるとして活用を呼びかけている。

「初期調査」におけるコマンドランキング

1位:tasklist
2位:ver
3位:ipconfig
4位:systeminfo
5位:net time
6位:netstat
7位:whoami
8位:net start
9位:qprocess
10位:query

「探索活動」におけるコマンドランキング

1位:dir
2位:net view
3位:ping
4位:net use
5位:type
6位:net user
7位:net localgroup
8位:net group
9位:net config
10位:net share

「感染拡大」におけるコマンドランキング

1位:at
2位:reg
3位:wmic
4位:wusa
5位:netsh advfirewall
6位:sc
7位:rundll32

(Security NEXT - 2015/12/02 ) このエントリーをはてなブックマークに追加

PR

関連記事

外部から不正侵入の痕跡、詳細は調査中 - 原子力規制委員会
米政府、イランによるサイバー攻撃の警戒呼びかけ - 大統領選が標的に
2020年3Qのインシデント、前四半期比約1.2倍に - 探索行為やサイト改ざんが増加
サーバ9割以上が暗号化被害、セキュ対策ソフト削除も - 鉄建建設
「Emotet」対策でパスワード付きzip添付ファイルのブロックを推奨 - 米政府
東映ビデオの通販サイトで情報流出か - クレカ会社と見解に相違
脅威ハンティングサービスを開始 - NTTデータ先技
「パープルチーム」によるコンサルにも対応したペネトレサービス
政府の脆弱IoT機器調査「NOTICE」、2月20日から - イメージキャラクターにカンニング竹山さん
国内組織で「HIDDEN COBRA」のマルウェアを観測 - ファイルサイズは約150Mバイト