・難読化されたファイルまたは情報
情報システム開発契約のセキュリティ仕様作成のためのガイドライン
MITRE ATT&CKに基づく詳細設定対策
戦術:防衛回避 †
- MITRE ATT&CK
概説 †
攻撃者は悪意あるプログラムを隠ぺいするため、難読化や暗号化を行うことがあります。難読化はスクリプトなどの命令文を無意味な変数に置き換えたり、16進数に変換するなどして、どのような機能かの分析を困難にさせ、かつ、アンチウイルスの解析を免れることを目的としています。ただし、正規の正常な製品でも、リバースエンジニアリングを避けるために、難読化を実施することがあるため、難読化=悪意とは限りません。
Windows では外部からマルウェアをダウンロードする際に、難読化させたPowerShell スクリプトを使用することが知られています。
緩和の方針 †
Windows 10で実装されたマルウェア対策スキャンインターフェイス(AMSI)に対応したアンチウイルスソフトの採用もしくは同等機能を有するアンチウイルスソフトの採用を検討します。
侵入検知システム、Endpoint Detection and Responseの導入を検討します。
運用やNetworkが変更された場合の影響の有無 †
該当しません。
優先すべき措置 †
侵入検知システム、Endpoint Detection and Responseの導入を検討します。 AMSI に対応したアンチウイルスソフトの導入を検討します。 AMSI対応のアンチウイルスソフトは以下の難読化されたスクリプトの攻撃コードを検出します。
- PowerShell(スクリプト、インタラクティブな使用、および動的なコード評価)
- Windows Script Host(wscript.exeおよびcscript.exe)
- JavaScriptとVBScript
- OfficeVBAマクロ
但し、AMSI 機能を改ざんすることで AMSI 機能をバイパスする実証実験が報告 されています。F-Secure Hunting for AMSI bypasses: https://blog.f-secure.com/hunting-for-amsi-bypasses/
Bypass AMSI by manual modification: https://s3cur3th1ssh1t.github.io/Bypass_AMSI_by_manual_modification/
ユーザー運用管理責任 †
リスクの受容 †
難読化はPowerShellスクリプトに限ったものではありませんが、多くはPowerShell に施されるため、「18章・PowerShellの悪用」のリスク受容を援用します。
業務 | 特権 | リスク受容のための条件例 |
プログラム開発担当者 | Local Administrator | PowerShell スクリプト開発環境の分離(リリース後は署名する)、AllSigned適用、侵入監視・Endpoint Detection and Response・AMSI対応アンチウイルスソフトの導入、PowerShell スクリプトログ監査、定期的なトレーニング |
Help Desk 担当者 | Domain/Local Administrator | |
システム管理者 | Enterprise/Domain/Local Administrator | |
部門管理者(OUの委任) | OUのパスワードリセット、グループ管理、ドメイン参加等 | |
役職者、研究者、秘書 | 標準ユーザー | PowerShellの実行ポリシーをRestricted適用、Local Administrators に含めない |
上記以外の一般業務担当者 | 標準ユーザー | PowerShellの実行ポリシーをRestricted適用、Local Administrators に含めない |
啓発・教育 †
- 対象:すべての端末利用者
- アンチウイルスソフトの更新方法、更新の確認方法を理解させます。
- 万一、動作していない、更新されていない、記憶にない設定変更がなされていた場合は、インシデントのおそれがあることから、報告させるようにします。
管理規程 †
以下の規程の整備を検討します。
- アンチウイルスの運用規定の文書化、監査。
情報システム設計開発部門・運用部門(ベンダー代行を含む) †
ポリシー †
・PowerShellの悪用 を参照してください。
モニタリング †
・PowerShellの悪用 を参照してください。
ネットワークデザイン、アクセスコントロール、フィルタリング †
該当しません。
仮想端末運用 †
これは将来のためのプレースフォルダーです。
エンドポイント対策 †
AMSI対応アンチウイルスソフト、侵入検知システム、Endpoint Detection and Responseの導入を検討します。
受託開発ベンダー管理責任 †
セキュアコーディング †
該当しません。
開発環境管理 †
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じます。 例外はすべて文書化し、適切な監査を実施します。
サプライチェーン正常性維持" †
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じます。 例外はすべて文書化し、適切な監査を実施します。