・悪意あるWindowsサービスの実行 のバックアップ(No.10)
- バックアップ一覧
- 差分 を表示
- 現在との差分 を表示
- ソース を表示
- ・悪意あるWindowsサービスの実行 へ行く。
- 1 (2019-11-11 (月) 10:15:50)
- 2 (2019-11-11 (月) 10:18:00)
- 3 (2019-11-15 (金) 09:52:11)
- 4 (2019-11-27 (水) 18:30:18)
- 5 (2020-02-08 (土) 16:22:51)
- 6 (2020-03-19 (木) 14:45:17)
- 7 (2020-03-24 (火) 13:46:00)
- 8 (2020-07-25 (土) 16:26:26)
- 9 (2020-08-12 (水) 10:47:54)
- 10 (2020-08-30 (日) 09:43:12)
- 11 (2020-10-20 (火) 14:15:15)
- 12 (2020-10-20 (火) 16:59:45)
- 13 (2020-10-22 (木) 10:36:27)
- 14 (2020-10-22 (木) 14:19:31)
- 15 (2020-10-22 (木) 17:35:24)
- 16 (2020-11-04 (水) 16:30:23)
情報システム開発契約のセキュリティ仕様作成のためのガイドライン(案)?
MITRE に基づく詳細設定対策?
戦術:悪意あるプログラムの実行 †
- MITRE ATT&CK
概説 †
Windowsサービスとは、ユーザーインターフェースを持たずにバックグラウンドで常駐して動作するプログラムで、SYSTEM権限で動作するため、最も高い権限を有します。
Windowsが起動した際に自動起動するように設定できるため、悪意あるプログラム(マルウェア)をWindows サービスとしてインストールできれば、最上位の権限での設定実行や永続化が可能となります。
悪意あるWindowsサービスは、キーボード・画面の窃取、C&Cサーバーとの通信、リモート操作などの機能が考えられます。
新しいWindowsサービスをインストールするか、既存のサービスを改ざんすることで実現されますが、Windowsサービスの操作には管理者権限が必要です。
緩和の方針 †
- 上位のアクセス許可レベルで実行されるサービスが、下位のアクセス許可レベルを持つユーザーによって作成または操作されないようにします。
- 一般業務端末を操作するユーザーアカウント標準ユーザーとして設定し、ローカル管理者であるビルトインAdministratorsグループのメンバーから除外し、脅威に対してWindowsサービスのインストールを失敗させることで緩和します。
運用やNetworkが変更された場合の影響の有無 †
- 標準ユーザーアカウントを、ビルトインAdministratorsグループのメンバーにした場合、リスクが非常に高まります。
優先すべき措置 †
- 標準ユーザーアカウントは、ビルトインAdministratorsグループのメンバーであってはなりません。
- CWE-428(引用符で囲まれていないプログラムパス)の脆弱性を排除します。
ユーザー運用管理責任 †
リスクの受容 †
- アプリケーションのインストール権限をユーザーに委ねた場合、この手法のリスクが高くなります。対象端末の文書化と監査による検知を強化し緩和します。
啓発・教育 †
- すべての端末利用者
- 組織のアプリケーションのインストール規程(評価済みアプリケーション以外をインストールしない等)の理解と遵守を求めます。
- 最新のフィッシングメールの事例、手口の理解を深めます。
- ローカル Administrtors メンバー
- アプリケーションをインストールできる権限を持つユーザーに対して、"初期侵入" から "悪意あるプログラムの実行" までの攻撃ベクターで攻撃を阻止しないと、情報窃取、送信、漏洩等のリスクが高まることを理解させます。
- アプリケーションのインストールや保守以外での管理者権限でのインターネット接続、メール受信などのリスクを正しく認識させます。
利用規定 †
- ローカル管理者権限を業務ユーザーに付与した場合の文書化、監査による不正なWindowsサービスのインストールの検出。
情報システム設計開発部門・運用部門(ベンダー代行を含む) †
ポリシー †
- 該当なし。
モニタリング †
- 該当なし。
NWデザイン †
- 該当なし。
アクセスコントロール †
- 標準ユーザーアカウントは、ビルトインAdministratorsグループのメンバーであってはなりません。
フィルタリング †
- 該当なし
ロール運用 †
- 標準ユーザーアカウントは、ビルトインAdministratorsグループのメンバーであってはなりません。
仮想端末運用 †
- 該当なし
エンドポイント対策 †
- CWE-428(引用符で囲まれていないプログラムパス)の脆弱性の検出と排除
受託開発ベンダー管理責任 †
セキュアコーディング †
- CWE-428(引用符で囲まれていないプログラムパス)の脆弱性の排除
開発環境管理 †
- ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。
サプライチェーン正常性維持" †
- ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。