・PowerShellの悪用 のバックアップ(No.10)
- バックアップ一覧
- 差分 を表示
- 現在との差分 を表示
- ソース を表示
- ・PowerShellの悪用 へ行く。
- 1 (2019-11-09 (土) 15:41:28)
- 2 (2019-11-09 (土) 17:00:00)
- 3 (2019-11-15 (金) 10:12:47)
- 4 (2019-11-21 (木) 15:15:14)
- 5 (2019-11-21 (木) 17:17:35)
- 6 (2019-11-26 (火) 10:10:50)
- 7 (2019-11-28 (木) 13:31:11)
- 8 (2019-11-29 (金) 10:34:13)
- 9 (2020-02-08 (土) 15:35:14)
- 10 (2020-03-17 (火) 10:05:50)
- 11 (2020-03-17 (火) 13:50:40)
- 12 (2020-03-17 (火) 14:44:11)
- 13 (2020-03-19 (木) 14:43:27)
- 14 (2020-03-24 (火) 13:43:00)
- 15 (2020-03-26 (木) 14:23:26)
- 16 (2020-07-25 (土) 16:24:58)
- 17 (2020-07-26 (日) 09:30:31)
- 18 (2020-08-12 (水) 10:38:51)
- 19 (2020-08-30 (日) 10:24:06)
- 20 (2020-10-19 (月) 15:37:25)
- 21 (2020-10-20 (火) 16:54:01)
- 22 (2020-10-23 (金) 14:27:33)
- 23 (2020-10-28 (水) 11:38:46)
- 24 (2020-11-02 (月) 14:38:59)
- 25 (2020-11-04 (水) 11:35:55)
- 26 (2020-11-04 (水) 16:27:01)
IPAセキュリティPT評価版?
戦術 †
- 悪意あるプログラムの実行
対象OS †
- Windows
概説 †
Windowsの設定管理を行うスクリプト言語であるPowerShellを悪用し、悪意あるプログラム(マルウェア)を実行します。この手法は、多くの攻撃手法の中核となるもので、外部との通信(新たなプログラムのダウンロード)や端末情報や認証情報の窃取など、多種多様なコマンドの実行が考えられます。スクリプトは難読化されることが多く、侵入検知システムやアンチウイルスでの検知が困難な場合があり注意が必要です。
DefaultではPowerShellの実行は無効に制限されていますが、実行が有効となっている端末では攻撃を受ける可能性が高く、慎重な運用が必要です。
緩和の方針 †
- PowerShellを使用しない端末では、PowerShellスクリプトを無効(Default)にすることで、マルウェアによるPowerShellの悪用を緩和できます。
- PowerShellが許可された端末、サーバーでは、署名付きPowerShellスクリプトのみ実行許可とする、もしくはホワイトリストを導入し、文書化して定期的に監査を実施し、マルウェアの検出をするなどが有効です。
- PowerShellが許可された端末では、電子メールやWebサイトの閲覧の禁止によるマルウェアの初期侵入の防止運用や、PowerShellの悪用を防ぐ運用も検討します。
運用やNetworkが変更された場合の影響の有無 †
- PowerShellの実行が有効とした端末では、メール添付のファイルの実行、Webサイトの閲覧などで、悪意あるプログラムの実行のリスクが高まります。
優先すべき措置 †
- PowerShellスクリプトの実行可能端末・サーバーを限定し、その他はグループポリシーでPowerShellスクリプトの実行を禁止します。
- 管理上、PowerShellを必要とするサーバー、端末のログの取得と監査を実施します。AppLocker もしくは、Windows Defender アプリケーション制御によるスクリプト制御の併用も検討します。
- WinRMサービスを無効化/制限して、リモート実行でPowerShellが使用されないようにします。
ユーザー運用管理責任 †
リスクの受容 †
PowerShellスクリプトの実行可能端末・サーバーは、設定されたセキュリティポリシーだけでなく、端末・サーバーのネットワーク構成、運用方法によって影響が異なるため、慎重なリスクの見極めが必要です。
- ドメインコントローラー、DHCPサーバー、開発用端末、管理用端末
これらはシステム設定管理上、PowerShellは必須といえます。従って、署名やログ監査でのリスク低減を検討します。 - アプリケーションサーバー、ファイルサーバー、業務端末
一般的にPowerShellを使用しないため、スクリプトの実行を禁止します。例外がある場合は、署名やログ監査でのリスク低減を検討します。
実行ポリシー 署名付き 署名なし ローカル 署名なし 非ローカル 概要 Restricted × × × 全てのスクリプトが実行禁止。PowerShellまたはWindows OSインストール直後のデフォルト設定(Windows Server 2012 R2を除く) AllSigned ○ × × 署名されているスクリプトのみが実行可能。署名されていないスクリプトは実行禁止 RemoteSigned ○ ○ × ローカルに保存されているスクリプトは実行可能。インターネットからダウンロードしたスクリプト(非ローカルのスクリプト)は、署名されているもののみが実行可能。Windows Server 2012 R2では、この設定がデフォルト Unrestricted ○ ○ △ 全てのスクリプトが実行可能。ただしインターネットからダウンロードしたスクリプトは、実行するかどうかが確認されるので、ユーザーが明示的に許可した場合のみ実行される Bypass ○ ○ ○ 警告やユーザーへの確認なしに、全てのスクリプトが実行可能 - atmarkIT WindowsでPowerShellスクリプトの実行セキュリティポリシーを変更する:
https://www.atmarkit.co.jp/ait/articles/0805/16/news139.html
啓発・教育 †
該当なし。
利用規定 †
管理上、PowerShellが必要な端末、サーバーの文書化及び監査規程。
情報システム設計開発部門・運用部門(ベンダー代行を含む) †
ポリシー †
モニタリング †
NWデザイン †
該当なし。
アクセスコントロール †
- AppLocker でコマンドの実行を制限する。※Windows 10 はEnterprise Editionが必要。
- [Windows Defender アプリケーション制御] でコマンドの実行を制限する。
- PowerShell Constrained Language Mode(制約付き言語モード):
https://devblogs.microsoft.com/powershell/powershell-constrained-language-mode/ - [グループポリシー ソフトウェアの制限のポリシー]で実行を制限する。※Windows 10(1803)以降は機能削除。
- WinRMのFirewall管理。
フィルタリング †
該当なし。
ロール運用 †
PowerShellスクリプトブロックのログの有効化。
仮想端末運用 †
該当なし。
エンドポイント対策 †
Endpoint Detection and Response もしくは、侵入検知システムの導入を検討してください。
受託開発ベンダー管理責任 †
セキュアコーディング †
作成したPowerShellスクリプトへのタイムスタンプ付き署名の実施。
実行運用環境に限定した実行ポリシーの適用(対象端末・サーバーはAllSigned、対象外はRestricted)。
開発環境管理 †
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。
サプライチェーン正常性維持" †
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。