Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

攻撃者愛用のWindowsコマンドは? - 不要コマンド制限でリスク低減を

JPCERTコーディネーションセンター(JPCERT/CC)は、攻撃者が悪用する「Windowsコマンド」の調査結果を発表した。普段使用しないコマンドであれば、実行を制限することで攻撃の影響を低減できる。

同センターでは、3つの異なる攻撃グループが侵入した「Windows」端末において使用されたコマンドを集計。「初期調査」「探索活動」「感染拡大」の各攻撃フェーズでどのようなコマンドが多く使用されたかをランキングにまとめた。

初期調査の段階は「tasklist」や「ver」などを使用。ネットワーク情報やプロセス情報、OS情報などを収集して、どの端末に感染したかを調査していた。

さらなる探索活動では、「dir」や「type」でファイルを探索。「net view」などのnetコマンドでネットワークを調査。感染を拡大させる段階では「at」コマンドの利用が目立った。端末上でリモートからマルウェアを実行するために利用する。

同センターでは調査結果を受けて、これらコマンドのなかに普段利用しないものがあれば、実行を「AppLocker」やソフトウェア制限ポリシーで制限することで、攻撃者の活動を抑えることができると指摘。

またコマンドをユーザー自身が使用している場合など制限が難しい場合は、「AppLocker」で実行を制限せずに監査のみ行うことも可能であると説明。イベントログより実行結果を確認できるとして活用を呼びかけている。

「初期調査」におけるコマンドランキング

1位:tasklist
2位:ver
3位:ipconfig
4位:systeminfo
5位:net time
6位:netstat
7位:whoami
8位:net start
9位:qprocess
10位:query

「探索活動」におけるコマンドランキング

1位:dir
2位:net view
3位:ping
4位:net use
5位:type
6位:net user
7位:net localgroup
8位:net group
9位:net config
10位:net share

「感染拡大」におけるコマンドランキング

1位:at
2位:reg
3位:wmic
4位:wusa
5位:netsh advfirewall
6位:sc
7位:rundll32

(Security NEXT - 2015/12/02 ) このエントリーをはてなブックマークに追加

PR

関連記事

第三者にメールを閲覧された痕跡、詳細を調査 - 東芝テック
個情委、人事労務サービスのMKシステムに行政指導 - 報告は3000件超
求職情報サイトで遠隔操作やデータ取得の形跡 - 日刊工業新聞
ライブラリ「XZ Utils」の一部バージョンに悪意あるコード
初期侵入から平均62分で横展開を開始 - わずか2分のケースも
サイバー攻撃で狙われ、悪用される「正規アカウント」
個人情報や生産データが流出した可能性 - JVCケンウッド
カーシェア利用者情報に不正アクセス - 開発引継時に不備
政府や独法関係者対象にCTFコンテスト「NISC-CTF」を開催
複数端末がマルウェア感染、情報流出の可能性 - 富士通