・難読化されたファイルまたは情報 のバックアップの現在との差分(No.2)

• バックアップ一覧
• 差分 を表示
• ソース を表示
• バックアップ を表示
• ・難読化されたファイルまたは情報 へ行く。
  • 1 (2019-11-12 (火) 11:37:49)
  • 2 (2019-11-12 (火) 13:24:00)
  • 3 (2019-11-15 (金) 09:54:12)
  • 4 (2019-11-18 (月) 14:52:04)
  • 5 (2020-02-09 (日) 14:17:58)
  • 6 (2020-03-19 (木) 14:50:50)
  • 7 (2020-03-24 (火) 13:49:00)
  • 8 (2020-03-26 (木) 14:25:52)
  • 9 (2020-07-25 (土) 16:28:29)
  • 10 (2020-08-12 (水) 11:07:07)
  • 11 (2020-08-30 (日) 09:23:12)
  • 12 (2020-10-23 (金) 16:26:46)
  • 13 (2020-10-24 (土) 09:57:59)
  • 14 (2020-11-06 (金) 13:29:07)

• 追加された行はこの色です。
• 削除された行はこの色です。

#author("2019-11-12T13:24:45+09:00","","")
[[IPA一般公開用]] [[設定対策]]
* [#w9b3b09a]
#freeze
#author("2020-11-07T15:25:31+09:00","","")
[[情報システム開発契約のセキュリティ仕様作成のためのガイドライン]]~
[[MITRE ATT＆CKに基づく詳細設定対策]]

**戦術 [#kdaa9829]
永続性、特権昇格
*戦術：防衛回避 [#id6fb4ea]
-MITRE ATT&CK
--[[T1027 Obfuscated Files or Information>https://attack.mitre.org/techniques/T1027/]]

**対象OS [#idd6f666]
-Windows

**必要なアクセス許可 [#lb845003]
Administrator
SYSTEM
*概説 [#l4eea049]
攻撃者は悪意あるプログラムを隠ぺいするため、難読化や暗号化を行うことがあります。難読化はスクリプトなどの命令文を無意味な変数に置き換えたり、16進数に変換するなどして、どのような機能かの分析を困難にさせ、かつ、アンチウイルスの解析を免れることを目的としています。ただし、正規の正常な製品でも、リバースエンジニアリングを避けるために、難読化を実施することがあるため、難読化＝悪意とは限りません。~
Windows では外部からマルウェアをダウンロードする際に、[[難読化させたPowerShell スクリプトを使用する>https://www.cyberfortress.jp/2020/03/25/blog-powershell-obfuscation/]]ことが知られています。

**概説 [#d0c56f8c]
Windowsサービスとは、ユーザーインターフェースを持たずにバックグラウンドで常駐して動作するプログラムです。Windowsが起動した際に自動起動するように設定できるため、悪意あるプログラム（マルウェア）をWindows サービスとしてインストールできれば、マルウェアの実行や永続化が可能となります。 悪意あるWindowsサービスは、キーボード・画面の窃取、C&Cサーバーとの通信、リモート操作などの機能を提供します。
-サービス名を偽装する場合があります。
-サービスの作成は管理者権限ですが、実行はLocalSystem特権となる場合があるため、権限昇格が起こりえます。
*緩和の方針 [#o6dbc1bd]
Windows 10で実装されたマルウェア対策スキャンインターフェイス（AMSI）に対応したアンチウイルスソフトの採用もしくは同等機能を有するアンチウイルスソフトの採用を検討します。~
侵入検知システム、Endpoint Detection and Responseの導入を検討します。

**緩和の方針 [#ref4af1e]
一般ユーザーにはWindowsサービスを含むアプリケーションのインストール権限を付与せず制限します。~
権限を有するユーザーの使用端末のサービスを監査します。
*運用やNetworkが変更された場合の影響の有無 [#ba4cfdf4]
該当しません。

**運用やNetworkが変更された場合の影響の有無 [#bec278d6]
ユーザーがローカルの管理者権限を新たに取得した場合、監査が必要です。
*優先すべき措置 [#fa037286]
侵入検知システム、Endpoint Detection and Responseの導入を検討します。
AMSI に対応したアンチウイルスソフトの導入を検討します。
AMSI対応のアンチウイルスソフトは以下の難読化されたスクリプトの攻撃コードを検出します。
-PowerShell（スクリプト、インタラクティブな使用、および動的なコード評価）
-Windows Script Host（wscript.exeおよびcscript.exe）
-JavaScriptとVBScript
-OfficeVBAマクロ

**優先すべき措置 [#sb303208]
一般ユーザーにはWindowsサービスを含むアプリケーションのインストール権限を付与せず制限します。
**ユーザー運用管理責任 [#y4f7ffd6]
***リスクの受容 [#mcce61a5]
ユーザーにローカル管理者権限を与えた場合、"初期侵入" から "悪意あるプログラムの実行" までの攻撃ベクターで攻撃を阻止しないと、情報窃取、送信、漏洩等のリスクが高まります。~
但し、AMSI 機能を改ざんすることで AMSI 機能をバイパスする実証実験が報告 されています。F-Secure Hunting for AMSI bypasses: https://blog.f-secure.com/hunting-for-amsi-bypasses/~
Bypass AMSI by manual modification: https://s3cur3th1ssh1t.github.io/Bypass_AMSI_by_manual_modification/

***啓発・教育 [#be38aa80]
アプリケーションをインストールできる権限を持つユーザーに対して、"初期侵入" から "悪意あるプログラムの実行" までの攻撃ベクターで攻撃を阻止しないと、情報窃取、送信、漏洩等のリスクが高まることを理解させます。アプリケーションのインストールや保守以外での管理者権限でのインターネット接続、メール受信などのリスクを正しく認識させます。
*ユーザー運用管理責任 [#y25688d7]
**リスクの受容 [#i5b17c35]
難読化はPowerShellスクリプトに限ったものではありませんが、多くはPowerShell に施されるため、「18章・PowerShellの悪用」のリスク受容を援用します。
|180|||c
|COLOR(WHITE):BGCOLOR(#44546A):CENTER:業務|COLOR(WHITE):BGCOLOR(#44546A):CENTER:特権|COLOR(WHITE):BGCOLOR(#44546A):CENTER:リスク受容のための条件例|h
|プログラム開発担当者|Local Administrator|PowerShell スクリプト開発環境の分離（リリース後は署名する）、AllSigned適用、侵入監視・Endpoint Detection and Response・AMSI対応アンチウイルスソフトの導入、PowerShell スクリプトログ監査、定期的なトレーニング|
|Help Desk 担当者|Domain/Local Administrator|~|
|システム管理者|Enterprise/Domain/Local Administrator|~|
|部門管理者（OUの委任）|OUのパスワードリセット、グループ管理、ドメイン参加等|~|
|役職者、研究者、秘書|標準ユーザー|PowerShellの実行ポリシーをRestricted適用、Local Administrators に含めない|
|上記以外の一般業務担当者|標準ユーザー|PowerShellの実行ポリシーをRestricted適用、Local Administrators に含めない|

***利用規定 [#r81e06ce]
システム管理者、ローカル管理者の文書化、監査。
一般ユーザーの権限の明示。
**啓発・教育 [#bf320873]
-対象：すべての端末利用者
--アンチウイルスソフトの更新方法、更新の確認方法を理解させます。
--万一、動作していない、更新されていない、記憶にない設定変更がなされていた場合は、インシデントのおそれがあることから、報告させるようにします。

**情報システム設計開発部門・運用部門（ベンダー代行を含む) [#m17ad063]
***NWデザイン [#s2b5e192]
重要な情報資産を有する端末・サーバーのセグメント化、インターネット接続の禁止。
**管理規程 [#e5f80f5a]
以下の規程の整備を検討します。
-アンチウイルスの運用規定の文書化、監査。


***アクセスコントロール [#y2389548]
-セキュリティコンテキスト
Windowsサービスはログインしているユーザーのセキュリティコンテキストとは異なるセキュリティコンテキストで実行されます。~
ドメインの管理者でないユーザーにアプリケーションをインストールできる権限を与えた場合を考えます。このような場合に、アプリケーションがLocal Systemで動作するサービスをインストールできてしまうと、本来、特権を有しないユーザーが特権を有するアプリケーションを使って、レジストリを変更するなどして永続性の確保や、権限昇格が可能となります。
*情報システム設計開発部門・運用部門（ベンダー代行を含む) [#qe5ba892]
**ポリシー [#m7b70d0c]
[[・PowerShellの悪用]] を参照してください。

Windowsサービスのセキュリティコンテキスト
|CENTER|CENTER|c
|セキュリティコンテキスト|与えられる権限|h
|User|システムは、サービスのインストール時に有効なユーザー名とパスワードの指定を要求し、ネットワーク上の 1 人のユーザーによって指定されたアカウントのコンテキストで実行します。|
|LocalService|ローカル コンピューター上で非特権ユーザーとして機能し、リモート サーバーに匿名の資格情報を提示するアカウントのコンテキストで実行します。|
|LocalSystem|広範なローカル特権を提供し、リモート サーバーにコンピューターの資格情報を提示するアカウントのコンテキストで実行します。|
|NetworkService|ローカル コンピューター上で非特権ユーザーとして機能し、リモート サーバーにコンピューターの資格情報を提示するアカウントのコンテキストで実行します。|
システムの特性に合わせて、アプリケーションのインストール権限を付与できるユーザーを限定し、これらのユーザーの端末のサービスを監査する事を検討します。~
**モニタリング [#w55e18da]
[[・PowerShellの悪用]] を参照してください。

***フィルタリング [#x98baf92]
UTM（悪意あるサイト、コンテンツのブロック）、侵入検知システムの導入。
**ネットワークデザイン、アクセスコントロール、フィルタリング  [#p33fcd30]
該当しません。

***ロール運用 [#a8233db1]
システム管理者、ローカル管理者の文書化、監査。

***仮想端末運用 [#ac472899]
該当なし
**仮想端末運用 [#a8810a5e]
これは将来のためのプレースフォルダーです。

***エンドポイント対策 [#u2014aae]
アンチウイルス、Endpoint Detection and Responseの導入。
**エンドポイント対策 [#o86dec77]
AMSI対応アンチウイルスソフト、侵入検知システム、Endpoint Detection and Responseの導入を検討します。

**受託開発ベンダー管理責任 [#n87a00cb]
***セキュアコーディング [#v6885f78]

***開発環境管理 [#w0ba2ff4]
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。
***サプライチェーン正常性維持" [#j1f3010e]
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。
*受託開発ベンダー管理責任 [#f9223aef]
**セキュアコーディング [#z80503fb]
該当しません。
**開発環境管理 [#q55a6742]
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じます。 例外はすべて文書化し、適切な監査を実施します。
**サプライチェーン正常性維持" [#j1f3010e]
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じます。 例外はすべて文書化し、適切な監査を実施します。




#br
#br
----
#article