業務システムの攻撃ベクトル の変更点

• 追加された行はこの色です。
• 削除された行はこの色です。
• 業務システムの攻撃ベクトル へ行く。
• 業務システムの攻撃ベクトル の差分を削除

#author("2019-11-17T11:52:31+09:00","","")
#author("2019-11-17T14:46:40+09:00","","")
[[FrontPage]]

*業務システムの攻撃ベクトル [#t28d8477]
一般的な業務システムにおける、攻撃者の戦術、手法について解説します。

**2019年に発生したマルウェア (TROJAN.WIN32.GLUPTEBA.TA) のベクトル [#q2450273]
***侵入の端緒 [#l3ece56a]
フリーソフトをホスティングしているWebサイト上のアドウェアにマルウェアがバンドルされており、正規のアドウェアと信じていたユーザーがアドウェアを実行しました。アドウェアにパックされていたため、アンチウイルスの検出を免れています。
***初期ペイロード [#leb39c29]
マルウェアはPEインジェクションという手法で自分自身を復元し、ペイロードを実行します。この初期の悪意あるプログラムは、ログオンしているユーザー（ローカル管理者）の権限を利用し実行されました。
***特権昇格 [#ib028bd2]
感染の後、悪意あるプログラムはTrustedInstallerグループ権限を使用してペイロードを実行します。TrustedInstallerは、OSのアップグレードやWindows Updateを実行できる極めて高い権限を有します。このため、攻撃者はシステム全体に高い権限が確保できました。また、UACを回避するために、レジストリを改ざんしています。
***ドロッパーのインストール [#y6201fc8]
ドロッパーは攻撃対象のPCの情報を収集し、ハードコーディングされたC&Cサーバーの情報を組み合わせ、レジストリに保存します。続いて、一度だけ自動実行されるように設定し、C:\Windowsの下にディレクトリを作成し、C&Cサーバーに通信をします。
***タスクの作成とダウンロード [#dc0768f5]
ドロッパーはユーザーがコンピュータにログオンした場合に必ず自分も実行されるよう、タスクスケジューラーを設定します。また、別のペイロードをダウンロードするため、別のタスクをタスクスケジューラに登録します。このタスクはCertutil.exeを悪用し、-urlcacheを引数に渡して、ツールをダウンロードします。











**想定されるネットワーク [#t959b152]
-[[Windowsで使用されるポート]]