レジストリRunキーやスタートアップフォルダの悪用 のバックアップ(No.2)
- バックアップ一覧
- ソース を表示
- レジストリRunキーやスタートアップフォルダの悪用 は削除されています。
- 1 (2019-10-13 (日) 15:37:05)
- 2 (2019-10-13 (日) 15:55:00)
- 3 (2020-08-12 (水) 16:52:35)
設定対策?
レジストリRunキーやスタートアップフォルダの悪用 †
対象OS:Linux、Windows、macOS †
攻撃評価 †
戦術分類 | 119 Value | Pen Value |
初期侵入 | 3 | 3 |
119 Value:Min:1 Max:3 数値が高いほど攻撃実績が多い
Pen Value:Min:1 Max:3 数値が高いほどペネトレーションテストで攻撃が成功しやすい
MITRE 緩和策 †
このタイプの攻撃手法は、システム機能の悪用に基づいているため、予防制御では簡単に軽減できません。 †
代替緩和策 †
Autoruns for Windows †
システムの起動時またはログイン時に実行されるように設定されているプログラムを表示するマイクロソフトのツールを利用し、出力を比較する。
このユーティリティは、スタートアップモニターの自動起動場所に関する最も包括的な知識を備えており、システムの起動時またはログイン時、およびInternet Explorer、Explorer、メディアプレーヤーなどの各種組み込みWindowsアプリケーションの起動時に実行するように設定されているプログラムを表示します。これらのプログラムとドライバには、スタートアップフォルダ、Run、RunOnce、およびその他のレジストリキーのプログラムとドライバが含まれます。Autorunsは、Explorerシェル拡張、ツールバー、ブラウザーヘルパーオブジェクト、Winlogon通知、自動起動サービスなどを報告します。自動実行は、他の自動起動ユーティリティをはるかに超えています。
[自動実行] の [署名されたMicrosoftエントリを表示しない] オプションを使用すると、システムに追加されたサードパーティ製の自動起動イメージを拡大したり、システムに構成されている他のアカウント用に構成された自動起動イメージの表示をサポートしたりできます。ダウンロードパッケージには、CSV形式で出力できるコマンドライン版のAutorunscも含まれています。