トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

・悪意あるWindowsサービスの実行 のバックアップ(No.1)


IPA一般公開用? 設定対策?

・悪意あるWindowsサービスの実行

戦術

悪意あるプログラムの実行

対象OS

  • Windows

必要なアクセス許可

Administrator, SYSTEM

概説

Windowsサービスとは、ユーザーインターフェースを持たずにバックグラウンドで常駐して動作するプログラムです。Windowsが起動した際に自動起動するように設定できるため、悪意あるプログラム(マルウェア)をWindows サービスとしてインストールできれば、マルウェアの実行や永続化が可能となります。Windows サービスはSYSTEM権限で動作するため、最も高い権限を有します。
悪意あるWindowsサービスは、キーボード・画面の窃取、C&Cサーバーとの通信、リモート操作などの機能が考えられます。
新しいWindowsサービスをインストールするか、既存のサービスを変更することで実現されます。

緩和の方針

上位のアクセス許可レベルで実行されるサービスが、下位のアクセス許可レベルを持つユーザーによって作成または操作されないようにします。 標準ユーザーアカウントは、ビルトインAdministratorsグループのメンバーであってはなりません。

運用やNetworkが変更された場合の影響の有無

標準ユーザーアカウントを、ビルトインAdministratorsグループのメンバーにした場合、リスクが非常に高まります。 「CWE-428:引用符で囲まれていない検索パスまたは要素」の脆弱性が存在すると、これを利用される可能性があります。新規にサードパーティーのプログラムをインストールした場合は、CWE-428が存在しないか、確認が必要となります。 https://cwe.mitre.org/data/definitions/428.html

優先すべき措置

標準ユーザーアカウントは、ビルトインAdministratorsグループのメンバーであってはなりません。 CWE-428の脆弱性を排除します。

ユーザー運用管理責任

リスクの受容

アプリケーションのインストール権限をユーザーに委ねたい場合、この手法のリスクが高くなります。対象端末の文書化と監査による検知を強化し緩和します。

啓発・教育

ローカルの管理者権限で、インターネット接続、Web閲覧、メール閲覧をした場合のリスクを研修します。

利用規定

ローカル管理者権限を業務ユーザーに付与した場合の文書化、監査による不正サービスのインストールの検出。

情報システム設計開発部門・運用部門(ベンダー代行を含む)

NWデザイン

端末、サーバーのネットワークセグメントからインターネットの接続を禁止する。

アクセスコントロール

該当なし

フィルタリング

該当なし

ロール運用

標準ユーザーアカウントは、ビルトインAdministratorsグループのメンバーであってはなりません。

仮想端末運用

該当なし

エンドポイント対策

CWE-428の脆弱性の検出と排除

受託開発ベンダー管理責任

セキュアコーディング

CWE-428の脆弱性の排除

開発環境管理

ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。

サプライチェーン正常性維持"

ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。