- 追加された行はこの色です。
- 削除された行はこの色です。
#author("2019-11-15T09:54:12+09:00","","")
#author("2019-11-18T14:52:04+09:00","","")
[[IPAセキュリティPT評価版]]
*・不正なWindowsサービスの追加[#w9b3b09a]
*・難読化されたファイルまたは情報 [#hc7d6663]
**戦術 [#id6fb4ea]
防衛回避
**戦術 [#kdaa9829]
永続性、特権昇格
**対象OS [#idd6f666]
**対象OS [#sa3061cc]
-Windows
**必要なアクセス許可 [#lb845003]
**必要なアクセス許可 [#o4a9d7e7]
Administrator
SYSTEM
**概説 [#d0c56f8c]
Windowsサービスとは、ユーザーインターフェースを持たずにバックグラウンドで常駐して動作するプログラムです。Windowsが起動した際に自動起動するように設定できるため、悪意あるプログラム(マルウェア)をWindows サービスとしてインストールできれば、マルウェアの実行や永続化が可能となります。 悪意あるWindowsサービスは、キーボード・画面の窃取、C&Cサーバーとの通信、リモート操作などの機能を提供します。
-サービス名を偽装する場合があります。
-サービスの作成は管理者権限ですが、実行はLocalSystem特権となる場合があるため、権限昇格が起こりえます。
**概説 [#l4eea049]
攻撃者はファイルやデータに悪意あるプログラムを隠ぺいするため、難読化や暗号化を行うことがあります。難読化とはスクリプトなどの命令文を無意味な変数に置き換えたり、16進数に変換するなどして、どのような機能かの分析を困難にさせ、かつ、アンチウイルスの解析を免れることを目的としています。~
**緩和の方針 [#ref4af1e]
一般ユーザーにはWindowsサービスを含むアプリケーションのインストール権限を付与せず制限します。~
権限を有するユーザーの使用端末のサービスを監査します。
**運用やNetworkが変更された場合の影響の有無 [#bec278d6]
ユーザーがローカルの管理者権限を新たに取得した場合、監査が必要です。
**緩和の方針 [#o6dbc1bd]
Windows 10で実装されたマルウェア対策スキャンインターフェイス(AMSI)を利用し、スクリプトの振る舞いをアンチウイルスで評価します。AMSIに対応したアンチウイルスソフトが必要です。
**優先すべき措置 [#sb303208]
一般ユーザーにはWindowsサービスを含むアプリケーションのインストール権限を付与せず制限します。
**ユーザー運用管理責任 [#y4f7ffd6]
***リスクの受容 [#mcce61a5]
ユーザーにローカル管理者権限を与えた場合、"初期侵入" から "悪意あるプログラムの実行" までの攻撃ベクターで攻撃を阻止しないと、情報窃取、送信、漏洩等のリスクが高まります。~
**運用やNetworkが変更された場合の影響の有無 [#ba4cfdf4]
AMSIに対応していないアンチウイルスソフトでは、緩和できない場合があります。
***啓発・教育 [#be38aa80]
アプリケーションをインストールできる権限を持つユーザーに対して、"初期侵入" から "悪意あるプログラムの実行" までの攻撃ベクターで攻撃を阻止しないと、情報窃取、送信、漏洩等のリスクが高まることを理解させます。アプリケーションのインストールや保守以外での管理者権限でのインターネット接続、メール受信などのリスクを正しく認識させます。
**優先すべき措置 [#fa037286]
AMSIに対応したアンチウイルスソフトを導入します。
***利用規定 [#r81e06ce]
システム管理者、ローカル管理者の文書化、監査。
一般ユーザーの権限の明示。
**ユーザー運用管理責任 [#y25688d7]
***リスクの受容 [#i5b17c35]
AMSIに対応していないアンチウイルスソフトを導入した場合、このリスクを受容します。
**情報システム設計開発部門・運用部門(ベンダー代行を含む) [#m17ad063]
***NWデザイン [#s2b5e192]
重要な情報資産を有する端末・サーバーのセグメント化、インターネット接続の禁止。
***啓発・教育 [#bf320873]
アンチウイルスソフトのAMSI設定を教育します。万一、設定が変更されていた場合は「動作」するように修正する手順を理解させます。
***利用規定 [#e5f80f5a]
アンチウイルスの運用規定の文書化、監査。
***アクセスコントロール [#y2389548]
-セキュリティコンテキスト
Windowsサービスはログインしているユーザーのセキュリティコンテキストとは異なるセキュリティコンテキストで実行されます。~
ドメインの管理者でないユーザーにアプリケーションをインストールできる権限を与えた場合を考えます。このような場合に、アプリケーションがLocal Systemで動作するサービスをインストールできてしまうと、本来、特権を有しないユーザーが特権を有するアプリケーションを使って、レジストリを変更するなどして永続性の確保や、権限昇格が可能となります。
Windowsサービスのセキュリティコンテキスト
|CENTER|CENTER|c
|セキュリティコンテキスト|与えられる権限|h
|User|システムは、サービスのインストール時に有効なユーザー名とパスワードの指定を要求し、ネットワーク上の 1 人のユーザーによって指定されたアカウントのコンテキストで実行します。|
|LocalService|ローカル コンピューター上で非特権ユーザーとして機能し、リモート サーバーに匿名の資格情報を提示するアカウントのコンテキストで実行します。|
|LocalSystem|広範なローカル特権を提供し、リモート サーバーにコンピューターの資格情報を提示するアカウントのコンテキストで実行します。|
|NetworkService|ローカル コンピューター上で非特権ユーザーとして機能し、リモート サーバーにコンピューターの資格情報を提示するアカウントのコンテキストで実行します。|
システムの特性に合わせて、アプリケーションのインストール権限を付与できるユーザーを限定し、これらのユーザーの端末のサービスを監査する事を検討します。~
**情報システム設計開発部門・運用部門(ベンダー代行を含む) [#qe5ba892]
***NWデザイン [#p33fcd30]
該当なし。
***フィルタリング [#x98baf92]
***アクセスコントロール [#vb384614]
該当なし。
***フィルタリング [#r57960b4]
UTM(悪意あるサイト、コンテンツのブロック)、侵入検知システムの導入。
***ロール運用 [#a8233db1]
システム管理者、ローカル管理者の文書化、監査。
***ロール運用 [#zed23527]
該当なし。
***仮想端末運用 [#ac472899]
該当なし
***仮想端末運用 [#a8810a5e]
該当なし。
***エンドポイント対策 [#u2014aae]
***エンドポイント対策 [#o86dec77]
アンチウイルス、Endpoint Detection and Responseの導入。
**受託開発ベンダー管理責任 [#n87a00cb]
***セキュアコーディング [#v6885f78]
***開発環境管理 [#w0ba2ff4]
**受託開発ベンダー管理責任 [#f9223aef]
***セキュアコーディング [#z80503fb]
該当なし。
***開発環境管理 [#q55a6742]
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。
***サプライチェーン正常性維持" [#j1f3010e]
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。
#br
#br
&br;
&br;
----
#article
