情報システム開発契約のセキュリティ仕様作成のためのガイドライン
業務システムの攻撃ベクトル
の編集
Top
/
業務システムの攻撃ベクトル
-- 雛形とするページ --
(no template pages)
[[FrontPage]] *業務システムの攻撃ベクトル [#t28d8477] 一般的な業務システムにおける、攻撃者の戦術、手法について解説します。 **2019年に発生したマルウェア (TROJAN.WIN32.GLUPTEBA.TA) のベクトル [#q2450273] ***侵入の端緒 [#l3ece56a] フリーソフトをホスティングしているWebサイト上のアドウェアにマルウェアがバンドルされており、正規のアドウェアと信じていたユーザーがアドウェアを実行しました。アドウェアにパックされていたため、アンチウイルスの検出を免れています。 ***初期ペイロード [#leb39c29] マルウェアはPEインジェクションという手法で自分自身を復元し、ペイロードを実行します。この初期の悪意あるプログラムは、ログオンしているユーザー(ローカル管理者)の権限を利用し実行されました。 ***特権昇格 [#ib028bd2] 感染の後、悪意あるプログラムはTrustedInstallerグループ権限を使用してペイロードを実行します。TrustedInstallerは、OSのアップグレードやWindows Updateを実行できる極めて高い権限を有します。このため、攻撃者はシステム全体に高い権限が確保できました。また、UACを回避するために、レジストリを改ざんしています。 ***ドロッパーのインストール [#y6201fc8] ドロッパーは攻撃対象のPCの情報を収集し、ハードコーディングされたC&Cサーバーの情報を組み合わせ、レジストリに保存します。続いて、一度だけ自動実行されるように設定し、C:\Windowsの下にディレクトリを作成し、C&Cサーバーに通信をします。 ***タスクの作成とダウンロード [#dc0768f5] ドロッパーはユーザーがコンピュータにログオンした場合に必ず自分も実行されるよう、タスクスケジューラーを設定します。また、別のペイロードをダウンロードするため、別のタスクをタスクスケジューラに登録します。このタスクはCertutil.exeを悪用し、-urlcacheを引数に渡して、ツールをダウンロードします。 **想定されるネットワーク [#t959b152] -[[Windowsで使用されるポート]]
タイムスタンプを変更しない
[[FrontPage]] *業務システムの攻撃ベクトル [#t28d8477] 一般的な業務システムにおける、攻撃者の戦術、手法について解説します。 **2019年に発生したマルウェア (TROJAN.WIN32.GLUPTEBA.TA) のベクトル [#q2450273] ***侵入の端緒 [#l3ece56a] フリーソフトをホスティングしているWebサイト上のアドウェアにマルウェアがバンドルされており、正規のアドウェアと信じていたユーザーがアドウェアを実行しました。アドウェアにパックされていたため、アンチウイルスの検出を免れています。 ***初期ペイロード [#leb39c29] マルウェアはPEインジェクションという手法で自分自身を復元し、ペイロードを実行します。この初期の悪意あるプログラムは、ログオンしているユーザー(ローカル管理者)の権限を利用し実行されました。 ***特権昇格 [#ib028bd2] 感染の後、悪意あるプログラムはTrustedInstallerグループ権限を使用してペイロードを実行します。TrustedInstallerは、OSのアップグレードやWindows Updateを実行できる極めて高い権限を有します。このため、攻撃者はシステム全体に高い権限が確保できました。また、UACを回避するために、レジストリを改ざんしています。 ***ドロッパーのインストール [#y6201fc8] ドロッパーは攻撃対象のPCの情報を収集し、ハードコーディングされたC&Cサーバーの情報を組み合わせ、レジストリに保存します。続いて、一度だけ自動実行されるように設定し、C:\Windowsの下にディレクトリを作成し、C&Cサーバーに通信をします。 ***タスクの作成とダウンロード [#dc0768f5] ドロッパーはユーザーがコンピュータにログオンした場合に必ず自分も実行されるよう、タスクスケジューラーを設定します。また、別のペイロードをダウンロードするため、別のタスクをタスクスケジューラに登録します。このタスクはCertutil.exeを悪用し、-urlcacheを引数に渡して、ツールをダウンロードします。 **想定されるネットワーク [#t959b152] -[[Windowsで使用されるポート]]
テキスト整形のルールを表示する