ニュース

攻撃者がよく使うWindowsコマンドのランキング発表~マルウェア感染被害の防止に、使わないWindowsコマンドの制限を

 一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は2日、「攻撃者が悪用するWindowsコマンド」のランキングを発表した。侵入した攻撃者が情報を収集するために、またはネットワーク内で感染を拡大させるために使用されているWindowsコマンドについて、3つの攻撃グループで実際に実行されていた件数を集計したもの。

 遠隔操作を行うためのマルウェア(RAT)には、リモートからコマンドシェルを実行する機能を持つものがあり、Windowsコマンドをリモートから実行可能。マルウェアをネットワーク内に侵入させた攻撃者は、下記の流れでネットワークシステムを攻略し、機密情報の収集を試みるというが、すべての攻撃フェーズでWindowsコマンドが使用されている。

  • 初期調査:感染した端末の情報を収集する
  • 探索活動:感染した端末に保存された情報や、ネットワーク内のリモート端末を探索する
  • 感染拡大:感染した端末を別のマルウェアにも感染させる、または別の端末にアクセスを試みる

 初期調査フェーズでは、攻撃者は「tasklist」「ver」「ipconfig」「systeminfo」などのコマンドを使用し、ネットワーク情報やプロセス情報、OS情報を収集する。これは、侵入した端末が、マルウェアを解析するためのおとりの環境でないかを確認していると考えられるという。

初期調査(上位10コマンド)
順位コマンド実行数
1tasklist155
2ver95
3ipconfig76
4systeminfo40
5net time31
6netstat27
7whoami22
8net start16
9qprocess15
10query14

 探索活動フェーズでは、「dir」「type」コマンドを使用してファイルを探索する。dirコマンドに適切な引数を指定することで、感染端末内のファイル一覧を収集できる。また、ネットワークの探索には「net」コマンドが用いられ、接続可能なドメインのリソース一覧を取得する「net view」や、ローカルおよびドメインのアカウント管理「net user」などが多用されているという。

 このほか、Active Directoryを使用している環境では、アカウントを検索する「dsquery」、アカウントの情報を取得する「csvde」など、Windows Serverに搭載されているコマンドが使用される。本来、クライアントOSには存在しないコマンドだが、攻撃者は外部からコマンドをインストールして実行するという。

探索活動(上位10コマンド)
順位コマンド実行数
1dir976
2net view236
3ping200
4net use194
5type120
6net user95
7net localgroup39
8net group20
9net config16
10net share11

 感染拡大フェーズでは、リモート接続可能な端末に対して特定ファイルを実行できる「at」のほか、特定の引数を指定することでリモート端末上でコマンドを実行できる「wmic」が多用されているという。wmicは、探索活動にも用いられている。

感染拡大
順位コマンド実行数
1at103
2reg31
3wmic24
4wusa7
5netsh advfirewall4
6sc4
7rundll322

 これらのコマンドは、一般的な用途では使用しないものが多い。普段使用しないコマンドを、Microsoftの「Windows AppLocker」やソフトウェア制限ポリシーで制限することで、攻撃者の動きを抑制することができるとしている。JPCERT/CCのウェブサイトでは、実際に特定のコマンド実行を制限する方法を紹介している。

(山川 晶之)