トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

・難読化されたファイルまたは情報 のバックアップ(No.3)


IPAセキュリティPT評価版?

・不正なWindowsサービスの追加

戦術

永続性、特権昇格

対象OS

  • Windows

必要なアクセス許可

Administrator SYSTEM

概説

Windowsサービスとは、ユーザーインターフェースを持たずにバックグラウンドで常駐して動作するプログラムです。Windowsが起動した際に自動起動するように設定できるため、悪意あるプログラム(マルウェア)をWindows サービスとしてインストールできれば、マルウェアの実行や永続化が可能となります。 悪意あるWindowsサービスは、キーボード・画面の窃取、C&Cサーバーとの通信、リモート操作などの機能を提供します。

  • サービス名を偽装する場合があります。
  • サービスの作成は管理者権限ですが、実行はLocalSystem特権となる場合があるため、権限昇格が起こりえます。

緩和の方針

一般ユーザーにはWindowsサービスを含むアプリケーションのインストール権限を付与せず制限します。
権限を有するユーザーの使用端末のサービスを監査します。

運用やNetworkが変更された場合の影響の有無

ユーザーがローカルの管理者権限を新たに取得した場合、監査が必要です。

優先すべき措置

一般ユーザーにはWindowsサービスを含むアプリケーションのインストール権限を付与せず制限します。

ユーザー運用管理責任

リスクの受容

ユーザーにローカル管理者権限を与えた場合、"初期侵入" から "悪意あるプログラムの実行" までの攻撃ベクターで攻撃を阻止しないと、情報窃取、送信、漏洩等のリスクが高まります。

啓発・教育

アプリケーションをインストールできる権限を持つユーザーに対して、"初期侵入" から "悪意あるプログラムの実行" までの攻撃ベクターで攻撃を阻止しないと、情報窃取、送信、漏洩等のリスクが高まることを理解させます。アプリケーションのインストールや保守以外での管理者権限でのインターネット接続、メール受信などのリスクを正しく認識させます。

利用規定

システム管理者、ローカル管理者の文書化、監査。 一般ユーザーの権限の明示。

情報システム設計開発部門・運用部門(ベンダー代行を含む)

NWデザイン

重要な情報資産を有する端末・サーバーのセグメント化、インターネット接続の禁止。

アクセスコントロール

  • セキュリティコンテキスト Windowsサービスはログインしているユーザーのセキュリティコンテキストとは異なるセキュリティコンテキストで実行されます。
    ドメインの管理者でないユーザーにアプリケーションをインストールできる権限を与えた場合を考えます。このような場合に、アプリケーションがLocal Systemで動作するサービスをインストールできてしまうと、本来、特権を有しないユーザーが特権を有するアプリケーションを使って、レジストリを変更するなどして永続性の確保や、権限昇格が可能となります。

Windowsサービスのセキュリティコンテキスト

セキュリティコンテキスト与えられる権限
Userシステムは、サービスのインストール時に有効なユーザー名とパスワードの指定を要求し、ネットワーク上の 1 人のユーザーによって指定されたアカウントのコンテキストで実行します。
LocalServiceローカル コンピューター上で非特権ユーザーとして機能し、リモート サーバーに匿名の資格情報を提示するアカウントのコンテキストで実行します。
LocalSystem広範なローカル特権を提供し、リモート サーバーにコンピューターの資格情報を提示するアカウントのコンテキストで実行します。
NetworkServiceローカル コンピューター上で非特権ユーザーとして機能し、リモート サーバーにコンピューターの資格情報を提示するアカウントのコンテキストで実行します。

システムの特性に合わせて、アプリケーションのインストール権限を付与できるユーザーを限定し、これらのユーザーの端末のサービスを監査する事を検討します。

フィルタリング

UTM(悪意あるサイト、コンテンツのブロック)、侵入検知システムの導入。

ロール運用

システム管理者、ローカル管理者の文書化、監査。

仮想端末運用

該当なし

エンドポイント対策

アンチウイルス、Endpoint Detection and Responseの導入。

受託開発ベンダー管理責任

セキュアコーディング

開発環境管理

ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。

サプライチェーン正常性維持"

ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。