トップ   編集 凍結解除 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

コマンドラインインターフェース

Last-modified: 2019-10-25 (金) 12:31:00
Top/コマンドラインインターフェース

設定対策

コマンドラインインターフェース

戦術

悪意あるプログラムの実行

対象OS

  • Linux
  • Windows
  • macOS

必要なアクセス許可

  • User
  • Administrator
  • SYSTEM

概説

OSの標準機能であるコマンドラインインターフェースを悪用することで、悪意あるプログラムを実行することができます。
Windowsの場合、ユーザーアカウント制御 (UAC) をバイパスして、悪意あるプログラムを密かに実行できる開発用のコマンドがあるため、必要に応じて、これらを削除するなども検討します。
また、Windows AppLockerWindows Defender アプリケーション制御などで、UACをバイパスするコマンドの実行を制限することが可能です。

攻撃評価

戦術分類119 ValuePen Value
初期侵入33

119 Value:Min:1 Max:3 数値が高いほど攻撃実績が多い
Pen Value:Min:1 Max:3 数値が高いほどペネトレーションテストで攻撃が成功しやすい

MITRE 緩和策

ホワイトリスト

必要に応じて、Windows Defender アプリケーション制御AppLocker、ソフトウェア制限ポリシーなどのアプリケーションホワイトリストツールを使用して、不要なコマンドラインインタープリターを監査および/またはブロックします。

Windows 10 STIG

V-63345 オペレーティングシステムは、許可されたソフトウェアプログラムの実行を許可するために、すべて拒否、例外による許可ポリシーを採用する必要があります。
V-68817 コマンドラインデータをプロセス作成イベントに含める必要があります。

Windows Server 2016 STIG

V-73235 Windows Server 2016は、承認されたソフトウェアプログラムの実行を許可するために、すべて拒否、例外による許可ポリシーを採用する必要があります。
V-73511 コマンドラインデータを、プロセス作成イベントに含める必要があります。

Others

Microsoft が推奨するブロックの規則

Windows監査(イベントログ)設定