Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

攻撃者愛用のWindowsコマンドは? - 不要コマンド制限でリスク低減を

JPCERTコーディネーションセンター(JPCERT/CC)は、攻撃者が悪用する「Windowsコマンド」の調査結果を発表した。普段使用しないコマンドであれば、実行を制限することで攻撃の影響を低減できる。

同センターでは、3つの異なる攻撃グループが侵入した「Windows」端末において使用されたコマンドを集計。「初期調査」「探索活動」「感染拡大」の各攻撃フェーズでどのようなコマンドが多く使用されたかをランキングにまとめた。

初期調査の段階は「tasklist」や「ver」などを使用。ネットワーク情報やプロセス情報、OS情報などを収集して、どの端末に感染したかを調査していた。

さらなる探索活動では、「dir」や「type」でファイルを探索。「net view」などのnetコマンドでネットワークを調査。感染を拡大させる段階では「at」コマンドの利用が目立った。端末上でリモートからマルウェアを実行するために利用する。

同センターでは調査結果を受けて、これらコマンドのなかに普段利用しないものがあれば、実行を「AppLocker」やソフトウェア制限ポリシーで制限することで、攻撃者の活動を抑えることができると指摘。

またコマンドをユーザー自身が使用している場合など制限が難しい場合は、「AppLocker」で実行を制限せずに監査のみ行うことも可能であると説明。イベントログより実行結果を確認できるとして活用を呼びかけている。

「初期調査」におけるコマンドランキング

1位:tasklist
2位:ver
3位:ipconfig
4位:systeminfo
5位:net time
6位:netstat
7位:whoami
8位:net start
9位:qprocess
10位:query

「探索活動」におけるコマンドランキング

1位:dir
2位:net view
3位:ping
4位:net use
5位:type
6位:net user
7位:net localgroup
8位:net group
9位:net config
10位:net share

「感染拡大」におけるコマンドランキング

1位:at
2位:reg
3位:wmic
4位:wusa
5位:netsh advfirewall
6位:sc
7位:rundll32

(Security NEXT - 2015/12/02 ) このエントリーをはてなブックマークに追加

PR

関連記事

複数サーバでランサム被害、アラートで気づく - ダイナムJHD
警察へのランサム被害報告、1年で倍増 - 目立つ「VPN機器」経由の侵入
日本語対応レッドチームサービスを開始 - クラウドストライク
ランサム被害、リモート接続の脆弱性が侵入口に - ニチリン
懲戒処分の検討契機に別職員による不正アクセスが発覚 - 小竹町
サーバへランサム攻撃、情報流出を確認 - リケン
Palo Alto製品の既知脆弱性、悪用に要警戒 - パッチ適用状況の確認を
WDB HDがランサム被害 - メールやファイルサーバで障害
2Qのインシデント、前期比約1.3倍に - フィッシングやスキャン行為が増加
市内小中12校が利用する校務ネットワークがランサム被害 - 南房総市