トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

・悪意あるWindowsサービスの実行 のバックアップ(No.13)


情報システム開発契約のセキュリティ仕様作成のためのガイドライン(案)?
MITRE ATT&CKに基づく詳細設定対策

戦術:悪意あるプログラムの実行

概説

Windowsサービスとは、ユーザーインターフェースを持たずにバックグラウンドで常駐して動作するプログラムで、SYSTEM権限で動作するため、最も高い権限を有します。
Windowsが起動した際に自動起動するように設定できるため、悪意あるプログラム(マルウェア)をWindows サービスとしてインストールできれば、最上位の権限での設定実行や永続化が可能となります。
悪意あるWindowsサービスは、キーボード・画面の窃取、C&Cサーバーとの通信、リモート操作などの機能が考えられます。
新しいWindowsサービスをインストールするか、既存のサービスを改ざんすることで実現されますが、Windowsサービスの操作には管理者権限が必要です。

緩和の方針

一般業務端末を操作するユーザーアカウントを標準ユーザーとして設定し、ローカル管理者であるビルトインAdministratorsグループのメンバーから除外し、Windowsサービスのインストールを失敗させることで緩和します。ドメインコントローラー、メンバーサーバーは検出に努めます。

運用やNetworkが変更された場合の影響の有無

標準ユーザーアカウントを、ビルトインAdministratorsグループのメンバーにした場合、リスクが非常に高まります。

優先すべき措置

以下の設定を検討します。

  • 一般業務は標準ユーザーアカウントで実行し、ビルトインAdministratorsグループのメンバーから除外します。
  • [Windows ログ]-[システムログ]-[Event ID 7045] を監査し、不審なWindowsサービスのインストールを検知します。
  • CWE-428(引用符で囲まれていないプログラムパス)の脆弱性を排除します。

ユーザー運用管理責任

リスクの受容

  • アプリケーションのインストール権限をユーザーに委ねた場合、この手法のリスクが高くなります。対象端末の文書化と監査による検知を強化し緩和します。
    業務特権リスク受容のための条件例
    プログラム開発担当者Local Administratorドメインコントローラー、メンバーサーバー、担当者端末のWindowシステムログ監査。
    Help Desk 担当者Domain/Local Administrator
    システム管理者Enterprise/Domain/Local Administrator
    部門管理者(OUの委任)OUのパスワードリセット、セキュリティグループ管理、ドメイン参加等
    役職者、研究者、秘書標準ユーザーLocal Administrators に含めない。
    上記以外の一般業務担当者標準ユーザーLocal Administrators に含めない。

啓発・教育

  • すべての端末利用者
    • 組織のアプリケーションのインストール規程(評価済みアプリケーション以外をインストールしない等)の理解と遵守を求めます。
  • ローカル Administrtors メンバー
    • アプリケーションをインストールできる権限を持つユーザーに対して、"初期侵入" から "悪意あるプログラムの実行" までの攻撃ベクターで攻撃を阻止しないと、情報窃取、送信、漏洩等のリスクが高まることを理解させます。
    • アプリケーションのインストールや保守以外での管理者権限でのインターネット接続、メール受信などのリスクを正しく認識させます。

利用規定

ローカル管理者権限を業務ユーザーに付与した場合の文書化、監査による不正なWindowsサービスのインストールの検出。

情報システム設計開発部門・運用部門(ベンダー代行を含む)

ポリシー

  • 該当しません。

モニタリング

Windowsサービスのインストールをイベントログで検出した際は、そのWindowsサービスが正規のものであることを確認した上で、以下のコマンドを実行し、CWE-428の脆弱性を検知します。

  • 引用符で囲まれていないWindowsサービスの検知
    wmic service get name,pathname,displayname,startmode | findstr /i auto | findstr /i /v "C:\Windows\\" | findstr /i /v """
    なお、C:\Windows 以下のWindowsサービスはデフォルトで引用符で囲まれていないため除外しています。

ネットワークデザイン

該当しません。

アクセスコントロール

標準ユーザーアカウントは、ビルトインAdministratorsグループのメンバーであってはなりません。

フィルタリング

該当しません。

仮想端末運用

該当しません。

エンドポイント対策

該当しません。

受託開発ベンダー管理責任

セキュアコーディング

Windowsサービスを作成する場合は、CWE-428(引用符で囲まれていないプログラムパス)の脆弱性の排除を行います。サービスはイベントログに、起動、エラー、終了等のログを出力するようにします

開発環境管理

ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じます。 例外はすべて文書化し、適切な監査を実施します。

サプライチェーン正常性維持"

ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じます。 例外はすべて文書化し、適切な監査を実施します。