・コマンドラインインターフェースの悪用 のバックアップ差分(No.15)

• バックアップ一覧
• 現在との差分 を表示
• ソース を表示
• バックアップ を表示
• ・コマンドラインインターフェースの悪用 へ行く。
  • 1 (2019-11-09 (土) 14:05:17)
  • 2 (2019-11-09 (土) 15:00:00)
  • 3 (2019-11-15 (金) 10:09:07)
  • 4 (2019-11-20 (水) 13:45:14)
  • 5 (2019-11-20 (水) 17:30:49)
  • 6 (2019-11-21 (木) 14:21:52)
  • 7 (2019-11-27 (水) 18:26:43)
  • 8 (2019-11-28 (木) 10:31:07)
  • 9 (2019-11-28 (木) 11:35:41)
  • 10 (2019-11-28 (木) 13:00:28)
  • 11 (2020-01-20 (月) 10:02:34)
  • 12 (2020-01-20 (月) 11:13:10)
  • 13 (2020-01-21 (火) 14:23:50)
  • 14 (2020-02-07 (金) 13:48:28)
  • 15 (2020-03-17 (火) 09:11:21)
  • 16 (2020-03-19 (木) 14:42:36)
  • 17 (2020-03-24 (火) 13:42:00)
  • 18 (2020-03-26 (木) 14:23:01)
  • 19 (2020-07-17 (金) 15:54:12)
  • 20 (2020-07-25 (土) 16:24:22)
  • 21 (2020-08-12 (水) 10:40:15)
  • 22 (2020-08-30 (日) 10:47:34)
  • 23 (2020-09-20 (日) 15:57:37)
  • 24 (2020-10-19 (月) 14:01:01)
  • 25 (2020-10-20 (火) 16:52:26)
  • 26 (2020-10-28 (水) 10:52:35)
  • 27 (2020-11-02 (月) 14:17:53)
  • 28 (2020-11-04 (水) 11:28:36)

• 追加された行はこの色です。
• 削除された行はこの色です。

#author("2020-02-07T13:48:28+09:00","","")
#author("2020-03-17T09:11:21+09:00","","")
[[IPAセキュリティPT評価版]]

*戦術 [#td47c5d6]
悪意のあるプログラムの実行

*対象OS [#nbe9b924]
-Linux
-Windows
-macOS


*概説 [#u2c8fa01]
OSの標準機能であるコマンドラインインターフェースを悪用することで、悪意あるプログラムを実行することができます。リモートデスクトップやリバースシェルセッションなどを介してローカルもしくはリモートで操作できます。~
コマンドラインインターフェースは、多くの場合、ログオンしているユーザーのセキュリティ権限で動作するため、ユーザーに管理者権限を与えている場合は厳重な防御が必要となります。~
開発用ツールの一部には、外部からプログラムを読み込む機能や、ユーザーアカウント制御 (UAC) をバイパスして悪意あるプログラムを実行させることができるため、一般業務と開発業務を厳重に分離することは、リスク低減に役立ちます。


*緩和の方針 [#y3da4cb9]
OSの標準機能を悪用するため、完全な防御は困難な場合があります。~
-Windows Defenderアプリケーション制御、Windows AppLocker（要ライセンス）、などで、ホワイトリスト管理、ブラックリスト管理を実施し、不要なコマンドンの実行制御を検討します。~
-端末の利用者権限が管理者権限で実行されている場合、コマンドは特権で実行されるため、極めて危険です。このため、利用者の権限を標準ユーザーにすることは、大変効果的で、この攻撃の緩和に役立ちます。
-アプリケーション制御が困難な場合は、ログの定期監査を実施し、不審なコマンド実行を検知します。
-開発で使用するデバッグコマンドは、外部からコードやプログラムを読み込み実行する機能を持つものがあります。このため、これらのデバッグコマンドを利用する開発業務端末と一般業務端末のネットワーク、サーバーの論理的分離は、拡散防止の観点から有効です。

*運用やNetworkが変更された場合の影響の有無 [#pd56ffb7]
重要資産を有する端末、サーバーで直接この手法を使用された場合、侵入、情報漏洩、改ざん、他のシステムへの感染などが想定されます。


*優先すべき措置 [#f98d1a13]
Windows Defenderアプリケーション制御の適用。~
Windows Defenderアプリケーション制御、もしくは AppLocker の導入の検討。~
コマンドライン実行ログの取得と監査。

*ユーザー運用管理責任 [#ccddccd7]
**リスクの受容 [#qaf713a8]
防御の方式によって実行の阻止、実行後の検知とリスクの性質が異なりますので、検討が必要です。

**啓発・教育 [#kea804d4]
開発者端末の危険性の認識、管理規程の正しい理解を求めます。

**整備すべき規定 [#eb89638d]
開発端末のログ取得及び監査規程を整備します。

*情報システム設計開発部門・運用部門（ベンダー代行を含む) [#dfc2f52e]
**ポリシー [#le059042]
[[・コマンドラインインターフェースの監査]]

**モニタリング [#q012151f]
重要資産が保存されているサーバー、端末でのコマンドラインインターフェースのログの分析の実施、
ホワイトリスト、ブラックリストによるアプリケーション制御を実施している場合は、違反の状況の分析、
Windows の場合、Event ID 4688 を監査します。

**NWデザイン [#a4f253e5]
開発端末と重要資産を有する端末、サーバーの厳格なセグメント分離を検討します。

**アクセスコントロール [#vb768dc9]
-[Windows Defender アプリケーション制御] でコマンドの実行を制限します。
-[Windows AppLocker] でコマンドの実行を制限します。※Windows 10 はEnterprise Editionが必要です。
-[Windows [[AppLocker]] でコマンドの実行を制限します。※Windows 10 はEnterprise Editionが必要です。
--WDAC または AppLocker のどちらを使用するかを選ぶ:~
https://docs.microsoft.com/ja-jp/windows/security/threat-protection/windows-defender-application-control/windows-defender-application-control
-[グループポリシー ソフトウェアの制限のポリシー]で実行を制限します。※ただし、Windows 10(1803)以降は機能が削除されており動作しません。 
-Microsoft が推奨するブロックの規則:https://docs.microsoft.com/ja-jp/windows/security/threat-protection/windows-defender-application-control/microsoft-recommended-block-rules
3.6.5	フィルタリング 
-Microsoft が推奨するブロックの規則:~
https://docs.microsoft.com/ja-jp/windows/security/threat-protection/windows-defender-application-control/microsoft-recommended-block-rules


**フィルタリング [#z1a6b7f0]
侵入検知システムの導入を検討してください。
該当なし。

**ロール運用 [#v103be1c]
-非開発者端末、サーバーにおけるアプリケーション制御。~
-開発者端末、サーバーにおけるアプリケーション制御。

**エンドポイント対策 [#v1d9510f]
アンチウイルス。~
侵入検知システムの導入を検討してください。
Endpoint Detection and Response もしくは、侵入検知システムの導入を検討してください。

*受託開発ベンダー管理責任 [#fd9ffd8a]
**セキュアコーディング [#y38206dc]
該当なし。

**開発環境管理 [#jed039f5]
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施します。

**サプライチェーン正常性維持" [#wc3dee80]
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施します。
~
~
----
#article