- 追加された行はこの色です。
- 削除された行はこの色です。
#author("2019-11-17T11:33:17+09:00","","")
#author("2019-11-17T14:46:40+09:00","","")
[[FrontPage]]
*業務システムの攻撃ベクトル [#t28d8477]
一般的な業務システムにおける、攻撃者の戦術、手法について解説します。
**代表的戦術 [#t959b152]
-サーバー
グローバルIPを持ち公開されることはほぼない。Default Gateway や Proxy Server を経由してインターネットに接続される場合があります。
-端末
メール、Web閲覧など、Default Gateway や Proxy Server を経由してインターネットに接続されることがあり、持ち出しが許可された端末は、社外で Wi-Fi やテザリングでインターネットに接続される可能性があリます。
**2019年に発生したマルウェア (TROJAN.WIN32.GLUPTEBA.TA) のベクトル [#q2450273]
***侵入の端緒 [#l3ece56a]
フリーソフトをホスティングしているWebサイト上のアドウェアにマルウェアがバンドルされており、正規のアドウェアと信じていたユーザーがアドウェアを実行しました。アドウェアにパックされていたため、アンチウイルスの検出を免れています。
***初期ペイロード [#leb39c29]
マルウェアはPEインジェクションという手法で自分自身を復元し、ペイロードを実行します。この初期の悪意あるプログラムは、ログオンしているユーザー(ローカル管理者)の権限を利用し実行されました。
***特権昇格 [#ib028bd2]
感染の後、悪意あるプログラムはTrustedInstallerグループ権限を使用してペイロードを実行します。TrustedInstallerは、OSのアップグレードやWindows Updateを実行できる極めて高い権限を有します。このため、攻撃者はシステム全体に高い権限が確保できました。また、UACを回避するために、レジストリを改ざんしています。
***ドロッパーのインストール [#y6201fc8]
ドロッパーは攻撃対象のPCの情報を収集し、ハードコーディングされたC&Cサーバーの情報を組み合わせ、レジストリに保存します。続いて、一度だけ自動実行されるように設定し、C:\Windowsの下にディレクトリを作成し、C&Cサーバーに通信をします。
***タスクの作成とダウンロード [#dc0768f5]
ドロッパーはユーザーがコンピュータにログオンした場合に必ず自分も実行されるよう、タスクスケジューラーを設定します。また、別のペイロードをダウンロードするため、別のタスクをタスクスケジューラに登録します。このタスクはCertutil.exeを悪用し、-urlcacheを引数に渡して、ツールをダウンロードします。
**想定されるネットワーク [#t959b152]
-[[Windowsで使用されるポート]]
