トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

悪意あるスクリプティングの実行 のバックアップ(No.5)


設定対策?

悪意あるスクリプティングの実行

概説

Windowsの場合は、VBScript、PowerShell、コマンドラインバッチ、Linuxの場合はBashなどがスクリプティングに相当します。それぞれ、コマンドの実行や条件判断が可能で、複雑な管理処理を容易にするためのOSの標準的なプログラミング機能ともいえます。
多くは、Word、Excelなどのデスクトップアプリケーションで利用が可能なVisual Basic for Application(VBA)を初期の侵入に使い、侵入に成功すると、PowerShellや他のスクリプト言語を使用して、情報の収集や水平展開を図ります。このため、スクリプトの制限をかけることは、幅広く効果的です。
一方で、スクリプトを使った管理や業務が止まってしまうとい弊害もあることから、全面的に禁止することは通常困難です。この場合は、スクリプトへの署名の実施や、スクリプトを実行する端末を特定し、文書化して、ログの監査を実施するなどの運用で、悪意のあるプログラムの検出を行います。

対象OS:Linux、Windows、macOS

攻撃評価

戦術分類119 ValuePen Value
初期侵入33

119 Value:Min:1 Max:3 数値が高いほど攻撃実績が多い
Pen Value:Min:1 Max:3 数値が高いほどペネトレーションテストで攻撃が成功しやすい

MITRE 緩和策

アプリケーションの分離とサンドボックス化

Officeセキュリティ設定を構成すると、保護されたビューが有効になり、サンドボックス環境内で実行され、グループポリシーを介してマクロがブロックされます。他のタイプの仮想化およびアプリケーションのマイクロセグメンテーションも、侵害の影響を緩和する可能性があります。
下記、OfficeプロダクツのSTIGを参照してください。

機能またはプログラムの無効化または削除

未使用の機能をオフにするか、VBScriptなどのスクリプトエンジンまたはPowerShellなどのスクリプト可能な管理フレームワークへのアクセスを制限します。
PowerShellの悪用?

Office 2016 STIG

Microsoft Access 2016 STIG
Microsoft Excel 2016 STIG
Microsoft Word 2016 STIG
Microsoft Outlook 2016 STIG
Microsoft PowerPoint 2016 STIG

Microsoft Internet Explorer 11 STIG