AppLocker
Last-modified: 2020-03-17 (火) 09:23:00
Top/AppLocker
・コマンドラインインターフェースの悪用
・PowerShellの悪用
AppLockerとは †
ユーザー、セキュリティグループが実行できるアプリケーションをグループポリシーもしくはMDMで制御します。これによって、マルウェアが悪用するDebugコマンドやPowerShellなどの実行を防止し、攻撃を緩和します。内部的に、*.exe と *.dll に対するルールはカーネルモードで強制されるため安全です。
AppLockerはWindows Server 2016 以上か、Windows 10 Enterprise Edition で利用可能です。
制御対象 †
- 実行形式ファイル (*.exe, *.com)
- PowerShell スクリプト (*.ps1)
- バッチファイル (*.bat, *.cmd)
- Java スクリプト (*.js)
- VBScript (*.vbs)
- Windows インストーラー (.msi、.mst、.msp)
- ダイナミックリンク ライブラリ (*.dll, *.ocx)
- パッケージ アプリのインストーラー (*.appx)
ルール設定 †
以下のルールを設定できます。
- ファイルハッシュ
- パス
- フォルダ・ファイルパス、環境変数、UNCパス、ワイルドカードが使用可能
- Publisherの電子署名
上記のファイルに対して、デフォルトでは明示的な許可(ホワイトリスト)で動作し、許可されていないファイルには暗黙的な拒否(許可ルールの影響受けないすべてのファイルのブロック)が適用されます。また、明示的な拒否(ブラックリスト)や例外設定が構成できます。
組織のアプリケーションやスクリプトの配布には、電子署名のPublisher、製品名、ファイル名、ファイルバージョンなどが指定できます。
- Microsoft:
https://docs.microsoft.com/ja-jp/windows/security/threat-protection/windows-defender-application-control/applocker/applocker-overview - ウィキペディア:
https://en.wikipedia.org/wiki/AppLocker
AppLocker をバイパスするコマンドラインインターフェース †
AppLocker のホワイトリストをバイパスするコマンドラインインターフェースが存在しています。そのため、以下のサイトのコマンドは明示的にブラックリストを構成する必要があります。
- Microsoft が推奨するブロックの規則
https://docs.microsoft.com/ja-jp/windows/security/threat-protection/windows-defender-application-control/microsoft-recommended-block-rules
- APPLOCKER – CASE STUDY – HOW INSECURE IS IT REALLY?
https://oddvar.moe/2017/12/13/applocker-case-study-how-insecure-is-it-really-part-1/
https://oddvar.moe/2017/12/21/applocker-case-study-how-insecure-is-it-really-part-2/
https://oddvar.moe/2017/12/13/harden-windows-with-applocker-based-on-case-study-part-1/
https://oddvar.moe/2017/12/21/harden-windows-with-applocker-based-on-case-study-part-2/
- Ultimate AppLocker ByPass List
https://github.com/api0cradle/UltimateAppLockerByPassList/blob/master/README.md