コマンドラインインターフェース
設定対策?
コマンドラインインターフェース †
戦術 †
悪意あるプログラムの実行
対象OS †
- Linux
- Windows
- macOS
必要なアクセス許可 †
- User
- Administrator
- SYSTEM
概説 †
OSの標準機能であるコマンドラインインターフェースを悪用することで、悪意あるプログラムを実行することができます。
Windowsの場合、ユーザーアカウント制御 (UAC) をバイパスして、悪意あるプログラムを密かに実行できる開発用のコマンドがあるため、必要に応じて、これらを削除するなども検討します。
また、Windows AppLocker、Windows Defender アプリケーション制御などで、UACをバイパスするコマンドの実行を制限することが可能です。
攻撃評価 †
戦術分類 | 119 Value | Pen Value |
初期侵入 | 3 | 3 |
119 Value:Min:1 Max:3 数値が高いほど攻撃実績が多い
Pen Value:Min:1 Max:3 数値が高いほどペネトレーションテストで攻撃が成功しやすい
MITRE 緩和策 †
ホワイトリスト †
必要に応じて、Windows Defender アプリケーション制御、AppLocker、ソフトウェア制限ポリシーなどのアプリケーションホワイトリストツールを使用して、不要なコマンドラインインタープリターを監査および/またはブロックします。
Windows 10 STIG †
V-63345 オペレーティングシステムは、許可されたソフトウェアプログラムの実行を許可するために、すべて拒否、例外による許可ポリシーを採用する必要があります。
V-68817 コマンドラインデータをプロセス作成イベントに含める必要があります。
Windows Server 2016 STIG †
V-73235 Windows Server 2016は、承認されたソフトウェアプログラムの実行を許可するために、すべて拒否、例外による許可ポリシーを採用する必要があります。
V-73511 コマンドラインデータを、プロセス作成イベントに含める必要があります。