・コマンドラインインターフェースの悪用のバックアップ(No.11)

IPAセキュリティPT評価版?

戦術 †

悪意のあるプログラムの実行

対象OS †

Linux
Windows
macOS

概説 †

OSの標準機能であるコマンドラインインターフェースを悪用することで、悪意あるプログラムを実行することができます。リモートデスクトップやリバースシェルセッションなどを介してローカルもしくはリモートで操作できます。
コマンドラインインターフェースは、多くの場合、ログオンしているユーザーのセキュリティ権限で動作するため、ユーザーに管理者権限を与えている場合は厳重な防御が必要となります。
開発用ツールの一部には、外部からプログラムを読み込む機能や、ユーザーアカウント制御 (UAC) をバイパスして悪意あるプログラムを実行させることができるため、一般業務と開発業務を厳重に分離することは、リスク低減に役立ちます。

↑

緩和の方針 †

OSの標準機能を悪用するため、完全な防御は困難な場合があります。

Windows Defenderアプリケーション制御、Windows AppLocker（要ライセンス）、などで、ホワイトリスト管理、ブラックリスト管理を実施し、不要なコマンドンの実行制御を検討します。
アプリケーション制御が困難な場合は、ログの定期監査を実施し、不審なコマンド実行を検知します。
一般業務と開発業務は端末、ネットワーク、サーバーを論理的に分離します。

↑

運用やNetworkが変更された場合の影響の有無 †

重要資産を有する端末、サーバーで直接この手法を使用された場合、侵入、情報漏洩、改ざん、他のシステムへの感染などが想定されます。

↑

優先すべき措置 †

Windows Defenderアプリケーション制御の適用。
コマンドライン実行ログの取得と監査。

↑

ユーザー運用管理責任 †

↑

リスクの受容 †

防御の方式によって実行の阻止、実行後の検知とリスクの性質が異なりますので、検討が必要です。

↑

啓発・教育 †

開発者端末の危険性の認識、管理規程の正しい理解を求める。

↑

整備すべき規定 †

開発端末のログ取得及び監査規程。

↑

情報システム設計開発部門・運用部門（ベンダー代行を含む) †

↑

ポリシー †

・コマンドラインインターフェースの監査

↑

モニタリング †

重要資産が保存されているサーバー、端末でのコマンドラインインターフェースのログの分析。ホワイトリスト、ブラックリストによるアプリケーション制御を実施している場合、違反の状況の分析。 Windows の場合、Event ID 4688 を監査する。

↑

NWデザイン †

開発端末と重要資産を有する端末、サーバーの厳格なセグメント分離。

↑

アクセスコントロール †

[Windows AppLocker] でコマンドの実行を制限する。※Windows 10 はEnterprise Editionが必要。
[Windows Defender アプリケーション制御] でコマンドの実行を制限する。
- WDAC または AppLocker のどちらを使用するかを選ぶ
[グループポリシーソフトウェアの制限のポリシー]で実行を制限する。※Windows 10(1803)以降は機能削除。
Microsoft が推奨するブロックの規則:https://docs.microsoft.com/ja-jp/windows/security/threat-protection/windows-defender-application-control/microsoft-recommended-block-rules 3.6.5 フィルタリング

↑