・難読化されたファイルまたは情報のバックアップ(No.14)

情報システム開発契約のセキュリティ仕様作成のためのガイドライン
 MITRE ATT＆CKに基づく詳細設定対策

戦術：防衛回避 †

MITRE ATT&CK
- T1027 Obfuscated Files or Information

概説 †

攻撃者は悪意あるプログラムを隠ぺいするため、難読化や暗号化を行うことがあります。難読化はスクリプトなどの命令文を無意味な変数に置き換えたり、16進数に変換するなどして、どのような機能かの分析を困難にさせ、かつ、アンチウイルスの解析を免れることを目的としています。ただし、正規の正常な製品でも、リバースエンジニアリングを避けるために、難読化を実施することがあるため、難読化＝悪意とは限りません。
Windows では外部からマルウェアをダウンロードする際に、難読化させたPowerShell スクリプトを使用することが知られています。

↑

緩和の方針 †

Windows 10で実装されたマルウェア対策スキャンインターフェイス（AMSI）に対応したアンチウイルスソフトの採用もしくは同等機能を有するアンチウイルスソフトの採用を検討します。
侵入検知システム、Endpoint Detection and Responseの導入を検討します。

↑

運用やNetworkが変更された場合の影響の有無 †

該当しません。

↑

優先すべき措置 †

侵入検知システム、Endpoint Detection and Responseの導入を検討します。 AMSI に対応したアンチウイルスソフトの導入を検討します。 AMSI対応のアンチウイルスソフトは以下の難読化されたスクリプトの攻撃コードを検出します。

PowerShell（スクリプト、インタラクティブな使用、および動的なコード評価）
Windows Script Host（wscript.exeおよびcscript.exe）
JavaScriptとVBScript
OfficeVBAマクロ

但し、AMSI 機能を改ざんすることで AMSI 機能をバイパスする実証実験が報告されています。F-Secure Hunting for AMSI bypasses: https://blog.f-secure.com/hunting-for-amsi-bypasses/
Bypass AMSI by manual modification: https://s3cur3th1ssh1t.github.io/Bypass_AMSI_by_manual_modification/

↑

ユーザー運用管理責任 †

↑

リスクの受容 †

難読化はPowerShellスクリプトに限ったものではありませんが、多くはPowerShell に施されるため、「18章・PowerShellの悪用」のリスク受容を援用します。

業務	特権	リスク受容のための条件例
プログラム開発担当者	Local Administrator	PowerShell スクリプト開発環境の分離（リリース後は署名する）、AllSigned適用、侵入監視・Endpoint Detection and Response・AMSI対応アンチウイルスソフトの導入、PowerShell スクリプトログ監査、定期的なトレーニング
Help Desk 担当者	Domain/Local Administrator
システム管理者	Enterprise/Domain/Local Administrator
部門管理者（OUの委任）	OUのパスワードリセット、グループ管理、ドメイン参加等
役職者、研究者、秘書	標準ユーザー	PowerShellの実行ポリシーをRestricted適用、Local Administrators に含めない
上記以外の一般業務担当者	標準ユーザー	PowerShellの実行ポリシーをRestricted適用、Local Administrators に含めない