mist-PowerShell のバックアップ(No.2)

バックアップ一覧
ソースを表示
mist-PowerShell は削除されています。
- 1 (2023-01-30 (月) 11:03:41)
- 2 (2023-01-30 (月) 12:59:04)
- 3 (2024-01-07 (日) 17:52:33)
- 4 (2024-01-28 (日) 12:50:26)

PowerShell の悪用概説 †

Windows の設定管理を行うスクリプト言語である PowerShell を悪用し、悪意あるプログラム(マルウェア）を実行します。PowerShell は、Windows のアプリケーションプログラムインターフェース (API) にアクセス可能であり、インターネットアクセスなどの機能も提供されているため、攻撃に悪用される中核的なテクノロジーともいえます。そのため、外部との通信（新たなプログラムのダウンロード）や端末情報や認証情報の窃取など、多種多様なコマンドの実行が考えられます。
スクリプトは難読化されることが多く、侵入検知システムやアンチウイルスでの検知が困難な場合があり注意が必要です。
既定値では PowerShell の実行は無効に制限されていますが、実行が有効となっている端末では攻撃を受ける可能性が高く、慎重な運用が必要です。
古いバージョンである PowerShell2.0 は、ログ機能などのセキュリティ機能がないため、検出を免れるためにダウングレード攻撃が発生しています。また、制限設定を回避する手法も多数研究されていることから、緩和策設定後も、定期的に新たなバイパス手法の情報入手と対策を講じる必要があります。

↑

緩和の方針 †

さまざまな緩和策に対して、それをバイパスする方法が研究されています。完全な防御は困難ですが、多角的な緩和措置が必要です。

管理端末以外は PowerShell スクリプトを無効（既定値)にします。
PowerShell が許可された端末、サーバーでは、PowerShell スクリプトに電子署名を実施し、署名付きPowerShellスクリプトのみ実行許可とします。

↑

運用やNetworkが変更された場合の影響の有無 †

PowerShell の実行が有効とした端末では、メール添付のファイルの実行、Web サイトの閲覧などで、悪意あるプログラムの実行のリスクが高まります。

↑

優先すべき措置 †

ダウングレード攻撃を阻止するため、役割と機能の削除ウィザードで Windows PowerShell 2.0 エンジンを削除します。
PowerShell スクリプトの実行可能端末・サーバーを限定し、文書化した上で、PowerShell スクリプトに電子署名を実施します。その他の端末・サーバーではグループポリシーで PowerShell スクリプトの実行を禁止します。
管理上、PowerShell を必要とするサーバー、端末のログの取得と監査を実施します。
AppLocker もしくは、Windows Defender アプリケーション制御による、以下のモジュールの制御、スクリプト制御の併用を検討します。
- powershell.exe、powershell_ise.exe、pwsh.exe (32bit, 64bit)
- System.Management.Automation.dll (32bit, 64bit)
- System.Management.Automation.ni.dll (32bit, 64bit)
- WinRMサービスを無効化/制限を参照して、リモート実行でPowerShellが使用されないようにします。
グループポリシーでもPowerShellの禁止設定が可能です。(2022/3/22：追加）
- [ユーザーの構成]>[ポリシー]>[管理用テンプレート]>[システム]>[指定された Windows アプリケーションを実行しない]>[有効
- [実行しないアプリケーションの一覧]>[powershell.exe、powershell_ise.exe、pwsh.exe]

↑

ユーザー運用管理責任 †

↑

リスクの受容 †

PowerShellスクリプトの実行可能端末・サーバーは、設定されたセキュリティポリシーだけでなく、端末・サーバーのネットワーク構成、運用方法によって影響が異なるため、慎重なリスクの見極めが必要です。

ドメインコントローラー、DHCPサーバー、開発用端末、管理用端末
これらはシステム設定管理上、PowerShell は必須といえます。従って、ホワイトリストの導入、PowerShell スクリプトの署名やログ監査による早期検出でのリスク受容を検討します。

アプリケーションサーバー、ファイルサーバー、業務端末
これらは PowerShell は必須といえないので、AppLocker等での実行制御をするか、Office VBA（マクロ）の厳格運用とVBScript の運用停止による初期侵入~悪意のあるプログラムの実行までのベクトルの遮断とログ監査による早期検出でリスク受容することが考えられます。

実行ポリシー	署名付き	署名なしローカル	署名なし非ローカル	概要
Restricted	×	×	×	全てのスクリプトが実行禁止。PowerShellまたはWindows OSインストール直後のデフォルト設定（Windows Server 2012 R2を除く）
AllSigned	○	×	×	署名されているスクリプトのみが実行可能。署名されていないスクリプトは実行禁止
RemoteSigned	○	○	×	ローカルに保存されているスクリプトは実行可能。インターネットからダウンロードしたスクリプト（非ローカルのスクリプト）は、署名されているもののみが実行可能。Windows Server 2012 R2では、この設定がデフォルト
Unrestricted	○	○	△	全てのスクリプトが実行可能。ただしインターネットからダウンロードしたスクリプトは、実行するかどうかが確認されるので、ユーザーが明示的に許可した場合のみ実行される
Bypass	○	○	○	警告やユーザーへの確認なしに、全てのスクリプトが実行可能

atmarkIT WindowsでPowerShellスクリプトの実行セキュリティポリシーを変更する:
https://www.atmarkit.co.jp/ait/articles/0805/16/news139.html

業務	特権	リスク受容のための条件例
プログラム開発担当者	Local Administrator	PowerShell スクリプト開発環境の分離（リリース後は署名する）
Help Desk 担当者	Domain/Local Administrator	AllSigned適用、侵入監視、PowerShell スクリプトログ監査、定期的なトレーニング
システム管理者	Enterprise/Domain/Local Administrator
部門管理者（OUの委任）	OUのパスワードリセット、グループ管理、ドメイン参加等
役職者、研究者、秘書	標準ユーザー	Restricted適用、Local Administrators に含めない
上記以外の一般業務担当者	標準ユーザー	Restricted適用、Local Administrators に含めない

↑

啓発・教育 †

対象：ローカル Administrator メンバー、開発者
- PowerShell を利用した攻撃方法の理解を求め、PowerShell 利用端末の危険性の認識、管理規程の正しい理解を求めます。

↑

管理規程 †

以下の規程の整備を検討してください。

業務上、PowerShellが必要な端末、サーバーの文書化及び監査規程。

↑

情報システム設計開発部門・運用部門（ベンダー代行を含む) †

↑

ポリシー †

以下のポリシーの適用を検討します。

・レベル1セキュリティ構成（Windows 10）及び・Windows Server 2016 Domain Controller の適用。
PowerShell 2.0 の無効化。PowerShell 2.0 を無効化することで、PowerShell 5.0 スクリプトブロックのログ機能を回避するダウングレード攻撃を緩和する。
- [コントロールパネル]>[プログラム]>[プログラムと機能]>[Windows の機能の有効化または無効化]>[Windows PowerShell 2.0] のチェックボックスを外す。

グループポリシーで PowerShellのログを有効にする。
- [コンピュータの構成]>[ポリシー]>[管理用テンプレート]>[Windowsコンポーネント]>[Windows PowerShell]>[モジュールログを有効にする] を [有効] に設定し、[オプション]>[モジュール名]>[表示] をクリックする。
- [モジュール名] の入力画面で、[値] に [Microsoft.PowerShell.*] [Microsoft.WSMan.Management] の2行を入力し、[OK] をクリックする。

↑

モニタリング †

ポリシーを設定した上で、PowerShell スクリプト実行のログを有効化します。

[イベントビューアー]-[アプリケーションとサービスログ]-[Microsoft]-[Windows]-[PowerShell]-[Operational] を右クリックし、[プロパティ] をクリックし、[ログを有効にする] にチェックする。
最大ログサイズを10048KB以上にし、[イベントを上書きしないでログをアーカイブする]をチェックする。
定期的に [イベントビューアー]-[アプリケーションとサービスログ]-[Microsoft]-[Windows]-[PowerShell]-[Operational] を監査します。

攻撃者はレジストリを書き換え、PowerShell のログを無効にすることがあります。

・Windows Group Policyの再読み込みを設定していない場合は、定期的に以下のレジストリの値をチェックする。

項目	値
レジストリハイブ	HKEY_LOCAL_MACHINE
キー	\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging
名前	EnableScriptBlockLogging
種類	REG_DWORD
データ	0x00000001(1) （有効）

↑

ネットワークデザイン、アクセスコントロール、フィルタリング †

以下を参考にWindows Defender アプリケーション制御もしくは Windows AppLocker でコマンドの実行を制限します。※Windows AppLocker は Windows 10 はEnterprise Editionが必要です。

WDAC または AppLocker のどちらを使用するかを選ぶ:
https://docs.microsoft.com/ja-jp/windows/security/threat-protection/windows-defender-application-control/windows-defender-application-control
Microsoft が推奨するブロックの規則:
https://docs.microsoft.com/ja-jp/windows/security/threat-protection/windows-defender-application-control/microsoft-recommended-block-rules
ただし、PowerShell without PowerShell などの Bypass 方法が研究されているため検討が必要。
https://www.ired.team/offensive-security/code-execution/powershell-without-powershell
PowerShell Constrained Language Mode (制約付き言語モード）の導入を検討する。
WinRMサービスを無効化する。（WinRMサービスを無効化/制限を参照）

↑

仮想端末運用 †

これは将来のためのプレースフォルダーです。

↑

ゲートウェイ及びエンドポイント対策 †

Endpoint Detection and Response もしくは、侵入検知システムの導入を検討してください。

↑

受託開発ベンダー管理責任 †

↑

セキュアコーディング †

作成したPowerShellスクリプトへのタイムスタンプ付き署名の実施。
実行運用環境に限定した実行ポリシーの適用（対象端末・サーバーはAllSigned、対象外はRestricted）。

↑

開発環境管理 †

ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じます。例外はすべて文書化し、適切な監査を実施します。

↑

サプライチェーン正常性維持" †