Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

攻撃者愛用のWindowsコマンドは? - 不要コマンド制限でリスク低減を

JPCERTコーディネーションセンター(JPCERT/CC)は、攻撃者が悪用する「Windowsコマンド」の調査結果を発表した。普段使用しないコマンドであれば、実行を制限することで攻撃の影響を低減できる。

同センターでは、3つの異なる攻撃グループが侵入した「Windows」端末において使用されたコマンドを集計。「初期調査」「探索活動」「感染拡大」の各攻撃フェーズでどのようなコマンドが多く使用されたかをランキングにまとめた。

初期調査の段階は「tasklist」や「ver」などを使用。ネットワーク情報やプロセス情報、OS情報などを収集して、どの端末に感染したかを調査していた。

さらなる探索活動では、「dir」や「type」でファイルを探索。「net view」などのnetコマンドでネットワークを調査。感染を拡大させる段階では「at」コマンドの利用が目立った。端末上でリモートからマルウェアを実行するために利用する。

同センターでは調査結果を受けて、これらコマンドのなかに普段利用しないものがあれば、実行を「AppLocker」やソフトウェア制限ポリシーで制限することで、攻撃者の活動を抑えることができると指摘。

またコマンドをユーザー自身が使用している場合など制限が難しい場合は、「AppLocker」で実行を制限せずに監査のみ行うことも可能であると説明。イベントログより実行結果を確認できるとして活用を呼びかけている。

「初期調査」におけるコマンドランキング

1位:tasklist
2位:ver
3位:ipconfig
4位:systeminfo
5位:net time
6位:netstat
7位:whoami
8位:net start
9位:qprocess
10位:query

「探索活動」におけるコマンドランキング

1位:dir
2位:net view
3位:ping
4位:net use
5位:type
6位:net user
7位:net localgroup
8位:net group
9位:net config
10位:net share

「感染拡大」におけるコマンドランキング

1位:at
2位:reg
3位:wmic
4位:wusa
5位:netsh advfirewall
6位:sc
7位:rundll32

(Security NEXT - 2015/12/02 ) このエントリーをはてなブックマークに追加

PR

関連記事

2017年に不正アクセス、日本語脅迫メール届き情報流出が発覚 - ユピテル
【特別企画】予算や人材不足の中小企業でもあきらめない! - マルウェア被害の縮小化
「ドローンセキュリティガイド第2版」を公開 - セキュアドローン協議会
認証サーバでアクセス制御する「SaaS」も標的 - 多段階攻撃で侵入被害
開発環境狙うサプライチェーン攻撃、「Codecov」が標的に
原子力規制委への不正アクセス、VPNの既知脆弱性が起点に
顧客判断待たずに初動対応するSOCサービス - ログによるさかのぼり調査も
約3分の1の企業がIoTやOTでセキュリティ事故を経験
米パイプライン事業者がランサム被害 - FBIが「Darkside」関与指摘
サーバ3台がランサムウェア被害 - 岡野バルブ製造