トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

・PowerShellの悪用 のバックアップ(No.25)

情報システム開発契約のセキュリティ仕様作成のためのガイドライン
MITRE ATT&CKに基づく詳細設定対策

戦術:悪意あるプログラムの実行

概説

Windowsの設定管理を行うスクリプト言語であるPowerShellを悪用し、悪意あるプログラム(マルウェア)を実行します。PowerShell は、Windows の API にアクセス可能であり、インターネットアクセスなどの機能も提供されているため、攻撃の中核となるテクノロジーともいえます。そのため、外部との通信(新たなプログラムのダウンロード)や端末情報や認証情報の窃取など、多種多様なコマンドの実行が考えられます。
スクリプトは難読化されることが多く、侵入検知システムやアンチウイルスでの検知が困難な場合があり注意が必要です。
DefaultではPowerShellの実行は無効に制限されていますが、実行が有効となっている端末では攻撃を受ける可能性が高く、慎重な運用が必要です。
古いバージョンである PowerShell2.0 は、ログ機能などのセキュリティ機能がないため、検出を免れるためにダウングレード攻撃が発生しています。また、制限設定を回避する手法も多数研究されていることから、緩和策設定後も、定期的に新たなバイパス手法の情報入手と対策を講じる必要があります。

緩和の方針

さまざまな緩和策に対して、それをバイパスする方法が研究されています。完全な防御は困難ですが、多角的な緩和措置が必要です。

  • 管理端末以外はPowerShellスクリプトを無効(Default)にします。
  • PowerShell が許可された端末、サーバーでは、PowerShellスクリプトに電子署名を実施し、署名付きPowerShellスクリプトのみ実行許可とするか、 AppLocker 等でのホワイトリストを導入を検討します。

運用やNetworkが変更された場合の影響の有無

  • PowerShellの実行が有効とした端末では、メール添付のファイルの実行、Webサイトの閲覧などで、悪意あるプログラムの実行のリスクが高まります。

優先すべき措置

  • ダウングレード攻撃を阻止するため、役割と機能の削除ウィザードで Windows PowerShell 2.0 エンジン を削除します。
  • PowerShell スクリプトの実行可能端末・サーバーを限定し、文書化した上で、PowerShell スクリプトに電子署名を実施します。その他の端末・サーバーではグループポリシーで PowerShell スクリプトの実行を禁止します。
  • 管理上、PowerShell を必要とするサーバー、端末のログの取得と監査を実施します。
  • AppLocker もしくは、Windows Defender アプリケーション制御による、以下のモジュールの制御、スクリプト制御の併用を検討します。
    • powershell.exe、powershell_ise.exe (32bit, 64bit)
    • System.Management.Automation.dll (32bit, 64bit)
    • System.Management.Automation.ni.dll (32bit, 64bit)
    • WinRMサービスを無効化/制限 を参照して、リモート実行でPowerShellが使用されないようにします。

ユーザー運用管理責任

リスクの受容

PowerShellスクリプトの実行可能端末・サーバーは、設定されたセキュリティポリシーだけでなく、端末・サーバーのネットワーク構成、運用方法によって影響が異なるため、慎重なリスクの見極めが必要です。

  • ドメインコントローラー、DHCPサーバー、開発用端末、管理用端末
    これらはシステム設定管理上、PowerShell は必須といえます。従って、ホワイトリストの導入、PowerShell スクリプトの署名やログ監査による早期検出でのリスク受容を検討します。
  • アプリケーションサーバー、ファイルサーバー、業務端末
    これらは PowerShell は必須といえないので、AppLocker等での実行制御をするか、Office VBA(マクロ)の厳格運用とVBScript の運用停止による初期侵入~悪意のあるプログラムの実行までのベクトルの遮断とログ監査による早期検出でリスク受容することが考えられます。
    実行ポリシー署名付き署名なし ローカル署名なし 非ローカル概要
    Restricted×××全てのスクリプトが実行禁止。PowerShellまたはWindows OSインストール直後のデフォルト設定(Windows Server 2012 R2を除く)
    AllSigned××署名されているスクリプトのみが実行可能。署名されていないスクリプトは実行禁止
    RemoteSigned×ローカルに保存されているスクリプトは実行可能。インターネットからダウンロードしたスクリプト(非ローカルのスクリプト)は、署名されているもののみが実行可能。Windows Server 2012 R2では、この設定がデフォルト
    Unrestricted全てのスクリプトが実行可能。ただしインターネットからダウンロードしたスクリプトは、実行するかどうかが確認されるので、ユーザーが明示的に許可した場合のみ実行される
    Bypass警告やユーザーへの確認なしに、全てのスクリプトが実行可能

  • atmarkIT WindowsでPowerShellスクリプトの実行セキュリティポリシーを変更する:
    https://www.atmarkit.co.jp/ait/articles/0805/16/news139.html
    業務特権リスク受容のための条件例
    プログラム開発担当者Local AdministratorPowerShell スクリプト開発環境の分離(リリース後は署名する)
    Help Desk 担当者Domain/Local AdministratorAllSigned適用、侵入監視、PowerShell スクリプトログ監査、定期的なトレーニング
    システム管理者Enterprise/Domain/Local Administrator
    部門管理者(OUの委任)OUのパスワードリセット、グループ管理、ドメイン参加等
    役職者、研究者、秘書標準ユーザーRestricted適用、Local Administrators に含めない
    上記以外の一般業務担当者標準ユーザーRestricted適用、Local Administrators に含めない

啓発・教育

  • 対象:ローカル Administrator メンバー、開発者
    • PowerShell を利用した攻撃方法の理解を求め、PowerShell 利用端末の危険性の認識、管理規程の正しい理解を求めます。

管理規定

以下の規程の整備を検討してください。

  • 管理上、PowerShellが必要な端末、サーバーの文書化及び監査規程。

情報システム設計開発部門・運用部門(ベンダー代行を含む)

ポリシー

以下のポリシーの適用を検討します。

  • ・レベル1セキュリティ構成(Windows 10)及び・Windows Server 2016 Domain Controller の適用。
  • PowerShell 2.0 の無効化。PowerShell 2.0 を無効化することで、PowerShell 5.0 スクリプトブロックのログ機能を回避するダウングレード攻撃を緩和する。
    • [コントロールパネル]>[プログラム]>[プログラムと機能]>[Windows の機能の有効化または無効化]>[Windows PowerShell 2.0] のチェックボックスを外す。
  • グループポリシーで PowerShellのログを有効にする。
    • [コンピュータの構成]>[ポリシー]>[管理用テンプレート]>[Windowsコンポーネント]>[Windows PowerShell]>[モジュールログを有効にする] を [有効] に設定し、[オプション]>[モジュール名]>[表示] をクリックする。
    • [モジュール名] の入力画面で、[値] に [Microsoft.PowerShell.*] [Microsoft.WSMan.Management] の2行を入力し、[OK] をクリックする。
      powershell.jpg

モニタリング

ポリシーを設定した上で、PowerShell スクリプト実行のログを有効化します。

  • [イベントビューアー]-[アプリケーションとサービス ログ]-[Microsoft]-[Windows]-[PowerShell]-[Operational] を右クリックし、[プロパティ] をクリックし、[ログを有効にする] にチェックする。
  • 最大ログサイズを10048KB以上にし、[イベントを上書きしないでログをアーカイブする]をチェックする。
  • 定期的に [イベントビューアー]-[アプリケーションとサービス ログ]-[Microsoft]-[Windows]-[PowerShell]-[Operational] を監査します。

攻撃者はレジストリを書き換え、PowerShell のログを無効にすることがあります。

  • ・Windows Group Policyの再読み込みを設定していない場合は、定期的に以下のレジストリの値をチェックする。
    項目
    レジストリハイブHKEY_LOCAL_MACHINE
    キー\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging
    名前EnableScriptBlockLogging
    種類REG_DWORD
    データ0x00000001(1) (有効)

ネットワークデザイン

該当しません。

アクセスコントロール

以下を参考にWindows Defender アプリケーション制御 もしくは Windows AppLocker でコマンドの実行を制限します。※Windows AppLocker は Windows 10 はEnterprise Editionが必要です。

フィルタリング

該当しません。

仮想端末運用

該当しません。

エンドポイント対策

Endpoint Detection and Response もしくは、侵入検知システムの導入を検討してください。

受託開発ベンダー管理責任

セキュアコーディング

  • 作成したPowerShellスクリプトへのタイムスタンプ付き署名の実施。
  • 実行運用環境に限定した実行ポリシーの適用(対象端末・サーバーはAllSigned、対象外はRestricted)。

開発環境管理

ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じます。 例外はすべて文書化し、適切な監査を実施します。

サプライチェーン正常性維持"

ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じます。 例外はすべて文書化し、適切な監査を実施します。

WinRMサービスを無効化/制限

グループ ポリシーを使用してリモート管理を無効にする

ローカルグループポリシーエディターを開くには、次のいずれかの操作を行います。

  1. Windows Server 2016、Windows Server 2012 R2、または Windows Server 2012 を実行しているサーバーで、「グループポリシーの管理」を起動します。
  2. ポリシーオブジェクトを選択し、右クリックして編集をクリックします。
  3. グループポリシー管理エディターで、[コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[windows リモート管理 (winrm)]>[Winrm サービス] を開きます。
  4. コンテンツ ウィンドウで [WinRM によるリモート サーバー管理を許可する] をダブルクリックします。
  5. [WinRM によるリモート サーバー管理を許可する] ポリシー設定のダイアログ ボックスで、[無効] をクリックしてリモート管理を無効にします。[OK] をクリックして変更内容を保存し、ポリシー設定のダイアログ ボックスを閉じます。

WinRM が使用するポートをパーソナルFirewallで閉じる

PowerShell を管理者モードで起動し、以下のコマンドを実行します。

Set-NetFirewallRule -name WINRM-HTTP-In-TCP -Enabled False
Set-NetFirewallRule -Name WINRM-HTTP-In-TCP-PUBLIC -Enabled False

WinRM機能を無効化する

PowerShell を管理者モードで起動し、以下のコマンドを実行します。

Disable-PSRemoting -Force