・レジストリRunキーやスタートアップフォルダの悪用 のバックアップの現在との差分(No.5)

• バックアップ一覧
• 差分 を表示
• ソース を表示
• バックアップ を表示
• ・レジストリRunキーやスタートアップフォルダの悪用 へ行く。
  • 1 (2019-11-12 (火) 13:25:51)
  • 2 (2019-11-12 (火) 13:50:00)
  • 3 (2019-11-15 (金) 09:54:45)
  • 4 (2020-02-08 (土) 17:27:20)
  • 5 (2020-02-09 (日) 10:21:05)
  • 6 (2020-03-19 (木) 14:50:27)
  • 7 (2020-03-24 (火) 13:48:00)
  • 8 (2020-03-26 (木) 14:25:08)
  • 9 (2020-07-25 (土) 16:27:41)
  • 10 (2020-08-12 (水) 10:59:16)
  • 11 (2020-08-12 (水) 16:52:02)
  • 12 (2020-08-30 (日) 09:35:45)
  • 13 (2020-10-23 (金) 11:45:33)
  • 14 (2020-10-28 (水) 09:41:57)
  • 15 (2020-11-05 (木) 11:21:22)

• 追加された行はこの色です。
• 削除された行はこの色です。

#author("2020-02-09T10:21:05+09:00","","")
[[IPAセキュリティPT評価版]]
* [#u5751d51]
#freeze
#author("2020-11-09T10:33:43+09:00","","")
[[情報システム開発契約のセキュリティ仕様作成のためのガイドライン]]~
[[MITRE ATT＆CKに基づく詳細設定対策]]

**戦術 [#ze6f548a]
永続化
*戦術：永続化[#ze6f548a]
-MITRE ATT&CK
--[[T1547.001 Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder>https://attack.mitre.org/techniques/T1547/001/]]

**対象OS [#uebdcffc]
-Windows
*概説 [#wb862afb]
Windows には、OS が起動した際に自動的にプログラムを起動させる機能の例として、レジストリやスタートアップフォルダなどを使用するものがあります。これは、①端末やサーバーが起動した際と、②特定のユーザーがログオンした際に、それぞれ分けて設定が可能です。攻撃者はこの機能を悪用し、端末やサーバーが再起動した際やユーザーがログオンした際に、悪意のあるプログラムを起動させ活動を永続化します。
この攻撃手法は、侵入後にWindowsの基本機能を悪用するため簡単に軽減できません。

**必要なアクセス許可 [#c1d1ed35]
Administrators

**概説 [#wb862afb]
Windowsには、OSが起動した際に自動的にプログラムを起動させることができます。これは、①端末やサーバーが起動した際と、②特定のユーザーがログオンした際に、それぞれ分けて設定が可能です。攻撃者はこの機能を悪用し、端末やサーバーが再起動した際やユーザーがログオンした際に、悪意のあるプログラムを起動させ活動を永続化します。~
この攻撃手法は、OSの基本機能の悪用に基づいているため、予防的設定では簡単に軽減できません。
*緩和の方針 [#ee5575b1]
この手法は、管理者権限を使われて初期侵入された、もしくはOS、プログラムの脆弱性を利用して悪意あるプログラムが実行された後の結果であるということができます。従って、重要資産に対してはツールを使い自動起動するアプリケーション定期的に監査し、検出に努めます。 Microsoft の純正ツールである Sysinternals の Autoruns  の使用が監査に有効です。&br;
-https://docs.microsoft.com/ja-jp/sysinternals/downloads/autoruns

**緩和の方針 [#ee5575b1]
-OSの基本機能を悪用しているため簡単に軽減できません。従って、ツールを使い自動起動アプリケーションとレジストリ、ファイルを監査し、検出に努めます。 Microsoft の純正ツールである Sysinternals の Autoruns が監査に有効です。&br;
https://docs.microsoft.com/ja-jp/sysinternals/downloads/autoruns
**運用やNetworkが変更された場合の影響の有無 [#d0717a4d]
-該当なし。&br;この手法は、管理者権限で初期侵入や悪意あるプログラムが実行された後の結果です。そのため、監査されていない管理者権限の付与、初期侵入を招くような行為について調査をする必要があります。

**優先すべき措置 [#e2c02854]
-重要な情報資産にアクセスする端末、サーバーに対して、Autoruns を使い自動起動アプリケーションとレジストリ、ファイルを監査し、検出に努めます。
*運用やNetworkが変更された場合の影響の有無 [#d0717a4d]
脆弱性対策ができていない、不用意に管理者権限を使用すると、この手法のリスクが高まります。

**ユーザー運用管理責任 [#o185194a]
***リスクの受容 [#x3603218]
-この攻撃手法は、システム機能の悪用に基づいているため、予防制御では簡単に軽減できません。初期侵入や悪意あるプログラムの実行などでの阻止を検討します。
*優先すべき措置 [#e2c02854]
重要な情報資産にアクセスする端末やサーバーに対して、Autoruns を使い自動起動アプリケーションとレジストリ、ファイルを監査し、検出に努めます。~
レジストリを操作することから、レジストリのアクセス権限を監査します。~
Endpoint Detection and Response もしくは、侵入検知システムの導入を検討してください。

***啓発・教育 [#b5d7fc0c]
-ローカル管理者権限に対し、アプリケーションのインストールの方針（評価済みアプリケーション以外をインストールしない等）や、不審な電子メールの添付ファイルやリンクを開かないなどの理解を深めます。
*ユーザー運用管理責任 [#o185194a]
**リスクの受容 [#x3603218]
この攻撃手法は、システム機能の悪用に基づいているため、簡単に軽減できません。初期侵入や悪意あるプログラムの実行などでの阻止を検討し、重要資産の暗号化、管理者権限の厳格な運用を実施し、リスクを受容します。

***利用規定 [#r5ac4c63]
**啓発・教育 [#b5d7fc0c]
-すべての端末利用者
--組織のアプリケーションのインストール規程（評価済みアプリケーション以外をインストールしない等）の理解と遵守を求めます。
--最新のフィッシングメールの事例、手口の理解を深めます。
-対象：ローカル Administrtors メンバー
--"初期侵入" から "悪意あるプログラムの実行" までの攻撃ベクターで攻撃を阻止しないと、情報窃取、送信、漏洩等のリスクが高まることを理解させます。
--アプリケーションのインストールや保守以外での管理者権限でのインターネット接続、メール受信などのリスクを正しく認識させます。

**管理規定 [#r5ac4c63]
以下の規程の整備を検討します。
-重要な情報資産にアクセスする端末、サーバーに対する監査規程。
-レジストリのアクセス権の監査。

**情報システム設計開発部門・運用部門（ベンダー代行を含む) [#ka781be9]
***NWデザイン [#fd1f3ec0]
-該当なし。

***アクセスコントロール [#i7f9e613]
-レジストリのアクセス権を Administrators とします。
*情報システム設計開発部門・運用部門（ベンダー代行を含む) [#ka781be9]
**ポリシー [#a18dd46a]
該当しません。

***フィルタリング [#afe935b7]
-侵入検知システムの導入。
**モニタリング [#j591a3c7]
Autorun設定をモニタリングし、不審な設定を監査します。

***ロール運用 [#la5694c6]
-該当なし。
1. Autoruns64.exeを入手し、対象となるコンピュータのデスクトップにコピーします。~
2. アイコンを右クリックし、[管理者として実行] をクリックし起動します。~
3. 起動したら、[Options] で [Hide Empty Locations]、[Hide Microsoft Entries]、[Hide VirusTotal Clean Entries] をチェックし、続いて [Scan Options] をクリックします。~
~
&ref(https://www.softwareisac.jp/ipa/image/data/Autoruns-Option.jpg);~
~
4. 以下のチェックボックスにチェックを入れます。~

***仮想端末運用 [#gba2286c]
-該当なし。
[Verify code signatures]~
[Check VirusTotal.com]~
[Submit Unknown Images]~
~
&ref(https://www.softwareisac.jp/ipa/image/data/Autoruns-Option2.jpg);
~
5.この設定により、Googleが運営するマルウェアの総合サイトVirusTotal  でClean と判断されたファイル以外のエントリが表示されます。VirusTotal の列で「指定されたファイルが見つかりません」、「指定されたパスが見つかりません」以外の行に着目します。
黄色の行はレジストリもしくはタスクスケジューラに起動のエントリが残っているが、ファイルがない場合を指します。多くは、アンインストールが不完全か削除を失敗している場合ですが、マルウェアの痕跡の可能性もあります。
VirusTotalの列に赤字で表示されている場合は、マルウェアの可能性があります。&color(red){1/57}; となっている場合は、セキュリティベンダーの57社中1社が当該行のファイルをマルウェアと判定していることを意味します。分子が数件以上あった場や、分子の数が増加傾向にある場合は、専門家の助言を受けます。

***エンドポイント対策 [#ld30811c]
-アンチウイルスのパターンファイルの日次更新と、日次クイックスキャン、週1回以上の完全スキャンの実施。
-Endpoint Detection and Responseの導入。

**受託開発ベンダー管理責任 [#q9523809]
***セキュアコーディング [#w30e0338]
-該当なし。
***開発環境管理 [#y058375b]
-ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。
***サプライチェーン正常性維持" [#e7f33899]
-ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。

**23.7.3	ネットワークデザイン、アクセスコントロール、フィルタリング[#fd1f3ec0]
レジストリのアクセス権を Administrators に設定します。

**仮想端末運用 [#gba2286c]
これは将来のためのプレースフォルダーです。

**21.8.5	ゲートウェイ及びエンドポイント対策 [#ld30811c]
アンチウイルスのパターンファイルの日次更新と、日次クイックスキャン、週1回以上の完全スキャンを実施します。
侵入検知システム、Endpoint Detection and Responseの導入を検討します。

#br
#br
----
#article

*受託開発ベンダー管理責任 [#q9523809]
**セキュアコーディング [#w30e0338]
該当しません。
**開発環境管理 [#y058375b]
-ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じます。 例外はすべて文書化し、適切な監査を実施します。
**サプライチェーン正常性維持" [#e7f33899]
-ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じます。 例外はすべて文書化し、適切な監査を実施します。