トップ   編集 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

PowerShellの悪用 の変更点

Top/PowerShellの悪用
#author("2020-03-19T15:20:00+09:00","","")
[[情報システム開発契約のセキュリティ仕様作成のためのガイドライン(案)]]
*PowerShellの悪用 [#zb08c4b7]
**戦術 [#mcade5d7]
悪意あるプログラムの実行
#author("2020-08-12T12:42:33+09:00","","")

**対象OS [#kb3c4746]
-Windows

**必要なアクセス許可 [#z42d3a86]
-User
-Administrator
-SYSTEM


**概説 [#ada2dbf0]
Windowsの設定管理を行うスクリプト言語を悪用し、悪意あるプログラム(マルウェア)を実行します。これには、外部との通信(新たなプログラムのダウンロード)や端末情報や認証情報の窃取など、多種多様なコマンドの実行が考えられます。スクリプトは難読化されることが多く、アプライアンスやアンチウイルスでの検知が困難な場合があり、注意が必要です。~
管理上、PowerShellを使用しない場合は、PowerShellスクリプトを無効にする(Default)ことで、マルウェアの実行を防止できます。~
PowerShellが必要な端末は、署名付きスクリプトの実行とし、文書化して定期的に監査を実施し、マルウェアの検出をするなどが有効です。

**攻撃評価 [#ae9aaba6]


|戦術分類|119 Value|Pen Value|
|初期侵入|RIGHT:3|RIGHT:3|
119 Value:Min:1 Max:3 数値が高いほど攻撃実績が多い~
Pen Value:Min:1 Max:3 数値が高いほどペネトレーションテストで攻撃が成功しやすい 

**MITRE 緩和策 [#o8e8b91a]
***コード署名 [#z5ea7fc4]
PowerShell実行ポリシーを設定して、署名されたスクリプトのみを実行します。



***機能やプログラムの無効化または削除 [#qb54604f]
不要な場合はシステムからPowerShellを削除することもできますが、多くの正当な目的や管理機能に使用される可能性があるため、環境への影響を評価するためにレビューを実行する必要があります。[[WinRMサービスを無効化/制限]]して、リモート実行でPowerShellが使用されないようにします。




***特権アカウント管理 [#lcc7bc44]
PowerShellが必要な場合、[[PowerShell実行ポリシー]]を管理者に制限します。環境の構成に応じて、PowerShell実行ポリシーをバイパスする方法があることに注意してください。



**Windows 10 STIG [#s5d18a20]
[[V-68819:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-68819]] PowerShellスクリプトブロックのログは、Windows 10で有効にする必要があります。 ~
[[V-70637:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-70637]] システムでWindows PowerShell 2.0機能を無効にする必要があります。~
[[V-63345:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-63345]] オペレーティングシステムは、許可されたソフトウェアプログラムの実行を許可するために、すべて拒否、例外による許可ポリシーを採用する必要があります。~
[[V-68817:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-68817]] コマンドラインデータをプロセス作成イベントに含める必要があります。

**Windows 2016 STIG [#y9dd5eb2]
[[V-73591:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-73591]] PowerShellスクリプトブロックのログを有効にする必要があります。~
[[V-73301:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-73301]] Windows PowerShell 2.0をインストールしないでください。~
[[V-73235:https://www.stigviewer.com/stig/windows_server_2016/2017-11-20/finding/V-73235]] Windows Server 2016は、承認されたソフトウェアプログラムの実行を許可するために、すべて拒否、例外による許可ポリシーを採用する必要があります。~
[[V-73511:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-73511]] コマンドラインデータを、プロセス作成イベントに含める必要があります。

**Others [#ic7005b8]
[[Windows監査(イベントログ)設定]]
#br
#br
----
#article