攻撃者が多用するコマンドは？ JPCERT/CCが公開：管理者以外はほぼ使わないコマンドも多数

　JPCERTコーディネーションセンター（JPCERT/CC）は2015年12月2日、「攻撃者が悪用するWindowsコマンド」と題するリポートを公開した。これらと、普通の利用者が使うWindowsコマンドとの「ずれ」に着目し、実行を制限することによって、攻撃の影響を低減する手助けにすることを狙っている。

　標的型攻撃においては、最初に足がかりとなる端末がマルウエアに感染した後に、「RAT（Remote Administration Tool）」と呼ばれる遠隔操作用マルウエアがインストールされることが多い。攻撃者はRATを介してリモートからコマンドシェルを実行し、端末やネットワーク内の情報収集、探索を行い、システム内に感染を広げ、横展開しながら機密情報の収集などを試みる。

　このレポートは、実際に三つの攻撃グループが使用していたC＆Cサーバーで入力された集計結果を基に、侵入後の活動に攻撃者が用いるWindowsコマンドをまとめたものだ。JPCERT/CCではこれらを、感染した端末の情報を収集する「初期調査」、感染した端末に保存された情報や、ネットワーク内のリモート端末を探索する「探索活動」、感染した端末を別のマルウエアにも感染させる、または別の端末にアクセスを試みる「感染拡大」という三つのフェーズに分け、集計している。

初期調査

　この段階では、コンピューター上で実行されているプロセスの一覧を表示する「tasklist」やWindowsのバージョン情報を表示する「ver」、ネットワーク設定を確認する「ipconfig」などのコマンドが上位に入っている。「どのような端末に感染したのかを調査し、マルウエア解析のためのおとり環境でないかなどを確認していると考えられる」という。

探索活動

　この段階では、ファイル名やサブディレクトリ一覧を表示させる「dir」に加え、さまざまなサブコマンドの付属した「net」コマンドが多用されている。netコマンドはWindowsネットワークのトラブルシューティングに欠かせないコマンドであり、さまざまなサブコマンドがあるが、攻撃者はこれを用いて共有リソースやユーザーアカウント情報を表示させ、ローカルネットワーク内を探索しているものと思われる。

　また上位10位には入っていないが、Active Directory環境では、Active Directoryに含まれるアカウントを検索する「dsquery」やアカウント情報を取得する「csvde」といったコマンドが利用されることもあるという。

感染拡大

　指定した日時にコマンドを実行する「at」、レジストリを操作する「reg」、WMI（Windows Management Instrumentation）を通じてインベントリ情報を取得・管理する「wmic」といったコマンドが上位に入っている。攻撃者はこれらのコマンドをマルウエア実行のために利用していると見られる。

　これらのコマンドは、Windows管理者ならばともかく、一般的なユーザーならばほとんど使用しないものが含まれている。JPCERT/CCでは、プログラムの実行を制御する「AppLocker」機能（Windows 7／Server 2008 R2以降）や、Active Directoryのグループ・ポリシー「ソフトウェアの制限のポリシー」を活用し、不要なWindowsコマンドの実行を制限することで攻撃者の活動を抑え、比較的早い段階でインシデントの拡大を抑止できるとしている。

　ただ、環境によっては、いきなりWindowsコマンドの実行を制限するのが難しいこともある。そうした場合には、AppLockerの「監査」により、イベントログに実行記録を残すことから始めるよう推奨している。