攻撃者愛用のWindowsコマンドは？ - 不要コマンド制限でリスク低減を

JPCERTコーディネーションセンター（JPCERT/CC）は、攻撃者が悪用する「Windowsコマンド」の調査結果を発表した。普段使用しないコマンドであれば、実行を制限することで攻撃の影響を低減できる。

同センターでは、3つの異なる攻撃グループが侵入した「Windows」端末において使用されたコマンドを集計。「初期調査」「探索活動」「感染拡大」の各攻撃フェーズでどのようなコマンドが多く使用されたかをランキングにまとめた。

初期調査の段階は「tasklist」や「ver」などを使用。ネットワーク情報やプロセス情報、OS情報などを収集して、どの端末に感染したかを調査していた。

さらなる探索活動では、「dir」や「type」でファイルを探索。「net view」などのnetコマンドでネットワークを調査。感染を拡大させる段階では「at」コマンドの利用が目立った。端末上でリモートからマルウェアを実行するために利用する。

同センターでは調査結果を受けて、これらコマンドのなかに普段利用しないものがあれば、実行を「AppLocker」やソフトウェア制限ポリシーで制限することで、攻撃者の活動を抑えることができると指摘。

またコマンドをユーザー自身が使用している場合など制限が難しい場合は、「AppLocker」で実行を制限せずに監査のみ行うことも可能であると説明。イベントログより実行結果を確認できるとして活用を呼びかけている。

1位：tasklist
2位：ver
3位：ipconfig
4位：systeminfo
5位：net time
6位：netstat
7位：whoami
8位：net start
9位：qprocess
10位：query

1位：dir
2位：net view
3位：ping
4位：net use
5位：type
6位：net user
7位：net localgroup
8位：net group
9位：net config
10位：net share

1位：at
2位：reg
3位：wmic
4位：wusa
5位：netsh advfirewall
6位：sc
7位：rundll32

（Security NEXT - 2015/12/02 ）ツイート