トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

・悪意あるWindowsサービスの実行 のバックアップ(No.2)


IPA一般公開用? 設定対策

・悪意あるWindowsサービスの実行

戦術

悪意あるプログラムの実行

対象OS

  • Windows

必要なアクセス許可

Administrator, SYSTEM

概説

Windowsサービスとは、ユーザーインターフェースを持たずにバックグラウンドで常駐して動作するプログラムで、SYSTEM権限で動作するため、最も高い権限を有します。
Windowsが起動した際に自動起動するように設定できるため、悪意あるプログラム(マルウェア)をWindows サービスとしてインストールできれば、最上位の権限での設定実行や永続化が可能となります。
悪意あるWindowsサービスは、キーボード・画面の窃取、C&Cサーバーとの通信、リモート操作などの機能が考えられます。
新しいWindowsサービスをインストールするか、既存のサービスを変更することで実現されます。

緩和の方針

上位のアクセス許可レベルで実行されるサービスが、下位のアクセス許可レベルを持つユーザーによって作成または操作されないようにします。 標準ユーザーアカウントは、ビルトインAdministratorsグループのメンバーであってはなりません。

運用やNetworkが変更された場合の影響の有無

標準ユーザーアカウントを、ビルトインAdministratorsグループのメンバーにした場合、リスクが非常に高まります。 「CWE-428:引用符で囲まれていない検索パスまたは要素」の脆弱性が存在すると、これを利用される可能性があります。新規にサードパーティーのプログラムをインストールした場合は、CWE-428が存在しないか、確認が必要となります。 https://cwe.mitre.org/data/definitions/428.html

優先すべき措置

標準ユーザーアカウントは、ビルトインAdministratorsグループのメンバーであってはなりません。 CWE-428の脆弱性を排除します。

ユーザー運用管理責任

リスクの受容

アプリケーションのインストール権限をユーザーに委ねたい場合、この手法のリスクが高くなります。対象端末の文書化と監査による検知を強化し緩和します。

啓発・教育

ローカルの管理者権限で、インターネット接続、Web閲覧、メール閲覧をした場合のリスクを研修します。

利用規定

ローカル管理者権限を業務ユーザーに付与した場合の文書化、監査による不正なWindowsサービスのインストールの検出。

情報システム設計開発部門・運用部門(ベンダー代行を含む)

NWデザイン

端末、サーバーのネットワークセグメントからインターネットの接続を禁止する。

アクセスコントロール

該当なし

フィルタリング

該当なし

ロール運用

標準ユーザーアカウントは、ビルトインAdministratorsグループのメンバーであってはなりません。

仮想端末運用

該当なし

エンドポイント対策

CWE-428の脆弱性の検出と排除

受託開発ベンダー管理責任

セキュアコーディング

CWE-428の脆弱性の排除

開発環境管理

ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。

サプライチェーン正常性維持"

ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。