www.morihi-soc.net

セキュリティの話題を中心に取扱中

Windows コマンドを監視しよう

どうも。ハニーポッターです。

サイバーセキュリティ月間なので、何か書くことにしました。(攻殻機動隊とのコラボポスターを駅で見かけてちょっとびっくりした)

今回はセキュリティインシデントに気づくきっかけを増やす方法についてです。

2015年12月に JPCERT/CC が公開した「攻撃者が悪用するWindowsコマンド」の記事はご存知でしょうか。

主旨としては、マルウェア感染した(乗っ取られた)端末上で攻撃者がよく使う Windows コマンドの紹介と、それらのコマンドの実行を制限することによって攻撃影響の低減が見込めるというものです。

使うものは AppLocker やソフトウェア制限ポリシです。最近の Windows OS ならば標準で備わっている機能ですね。

ただ本記事で Windows コマンドの説明や、アプリケーションの使い方の説明はしません。TechNet ライブラリ を参照してください。

それじゃ何を書くのかというと「Windowsコマンドを利用するマルウェアや攻撃事例」についてです。アンチマルウェアソフトベンダをはじめ、多くのセキュリティに関わる企業がマルウェアの解析レポートを公開しています。それらの公開レポートから、Windows コマンドが使われている事例をいくつか取り上げます。

 

悪用される Windows コマンドまとめ(JPCERT/CC)

本題に入る前に、JPCERT/CC が公開している攻撃者が悪用する Windows コマンドについて簡単にまとめます。

攻撃者が悪用する Windows コマンドは、利用される状況を3つ(初期調査・探索活動・感染拡大)に分けて紹介されています。

また3つの異なる攻撃グループ(A, B, C)が利用していた Windows コマンドを一覧にします(オプション省略)。

 

初期調査

A グループ B グループ C グループ
tasklist tasklist systeminfo
ver whoami ipconfig
ipconfig ipconfig tasklist
net time net start netstat
systeminfo netstat whoami
netstat nslookup net start
qprocess ver arp
query time chcp
whoami net time
net start ver
nslookup
fsutil
time
set

赤太文字は2つ以上の攻撃グループで利用されているコマンド

 

探索活動

A グループ B グループ C グループ
dir dir dir
net view net user net user
ping net view net view
net use ping qwinsta
type net localgroup
net user tree
net localgroup type
net group net group
net config
net share
dsquery
csvde
nbtstat
net session
nltest
wevtutil

赤太文字は2つ以上の攻撃グループで利用されているコマンド

 

感染拡大

A グループ B グループ
at at
reg wusa
wmic reg
netsh advfirewall rundll32
sc
wusa

赤太文字は2つ以上の攻撃グループで利用されているコマンド

※ C グループは感染拡大の行動を行わなかったので省略

 

元記事を読んでいただければ一部のコマンドは、使用方法やどのように悪用されるのかといった解説の記載があります。また上記には含まれていませんが、dsquery や csvde といった AD に関するコマンドについても言及されています。

攻撃グループによって、共通で使うコマンドがあること、ただし少しずつコマンドの傾向が異なるということの2点は興味深いですね。赤太文字ではないコマンドは使用用途が気になります。例えば A グループの探索活動の wevtutil コマンドとか。イベントログをいったいどうする気だ(;´∀`)

 

Windowsコマンドを利用するマルウェア

本題です。ここからは Windows コマンドを利用するマルウェアや攻撃事例について紹介していきます。なおマルウェアが直接実行する Windows コマンドと、攻撃者が乗っ取った端末を操作して実行する Windows コマンドとについて分けていません。共通して言えることは、同種のマルウェアに感染した場合、特定の Windows コマンドが実行される可能性があるということです。

また下記で紹介するマルウェアや攻撃事例と、JPCERT/CC の攻撃グループ A, B, C の関連性は不明であり、同一の攻撃グループとは限りません。

 

事例1) POS システムに感染するマルウェア

トレンドマイクロ社の「「Angler Exploit Kit」を利用してPOSシステムを事前調査する不正プログラムを確認」の記事から引用します。

このマルウェアは POS 端末や POS システムを狙ったと考えられ、システム情報を収集する際に Windows コマンドを利用するそうです。

ページ中程の「ケース 2: type=666 および 922」に以下の記載があります。

この不正プログラムは、コマンド「net view」の出力を確認します。ここで得られるネットワーク内の PC名の一覧から、以下の文字列を検索します。

  • POS
  • STORE
  • SHOP
  • SALE

「net view」コマンドを使うようです。Windows コマンドを悪用する状況の「探索活動」で ABC すべてのグループが使っているコマンドですね。

 

事例2)世界規模の諜報活動をする Volatile Cedar 攻撃キャンペーン(Explosive マルウェア)

Check Point 社のプレスリリース「Check Point Researchers Discover Global Cyber Espionage Campaign with Possible Link to Lebanese Political Group」から引用します。

2012年ごろから攻撃が観測されており、綿密な攻撃計画を立て、標的とする組織を絞り込み、マルウェア感染を必要最小限にとどめ発見を困難にしつつ、機密情報を窃取することが目的の APT です。

C&C COMMUNICATION の解説で12ページの Table 7 – Information sent during initial C&C communication の中に下記の記載があります。

System Name: The running OS, retrieved from the ‘systeminfo’ CLI command output.

systeminfo は Windows コマンドを悪用する状況の「初期調査」のコマンドに当てはまりますね。

参考
メディア・アラート:チェック・ポイント、チェック・ポイント、レバノンの政治組織との関連が疑われる世界規模のサイバー諜報活動を発見 

 

事例3)オペレーション Lotus Blossom (Elise マルウェア)

PaloAlto Networks 社が公開している「Operation Lotus Blossom」の記事から引用します。

Lotus Blossom とは、2012年から始まる東南アジアの政府や軍事機関を標的とする持続的なサイバー諜報活動をおこなうグループのことです(PaloAlto Networks の Unit 42 が命名)。

この Lotus Blossom グループは攻撃の足がかりとして Elise と呼ばれるマルウェアを利用します。

 

Variant A の解析で16ページ目に下記の記載があります。

When an initial communication is made to the remote server, the malware will execute the following 

commands to conduct basic network reconnaissance:  

  • net user
  • ipconfig /all
  • net start 
  • systeminfo 

また Variant B の解析で22ページ目に下記の記載があります。

When initially run, Elise variant B will also execute the following commands on the 

victim machine:

  • ipconfig /all
  • net start
  • dir C:\progra~1
  • systeminfo

また Variant C の解析で19ページ目に下記の記載があります。

When an initial communication is made to the remote server, the malware will 

execute the following commands to conduct basic network reconnaissance:   

  • net user
  • ipconfig /all
  • net start 
  • systeminfo

Variant A, B, C どれをとっても Windows コマンドを悪用する状況の「初期調査」と「探索活動」のコマンドに当てはまりますね。

参考
オペレーション Lotus Blossom (PDF)

 

事例4) C&C との通信にDropbox を利用する LOWBALL マルウェア

FireEye 社の Threat research ブログの「China-based Cyber Threat Group Uses Dropbox for Malware Communications and Targets Hong Kong Media Outlets」記事から引用します。

2015年の8月に香港の報道機関を狙った標的型攻撃に利用された LOWBALL マルウェアは、Dropbox を利用して C&C と通信するそうです。

LOWBALL Malware Analysis の部分で下記の記載があります。

We observed the threat group issue the following commands:
@echo off 

dir c:\ >> %temp%\download 

ipconfig /all >> %temp%\download 

net user >> %temp%\download 

net user /domain >> %temp%\download 

ver >> %temp%\download 

del %0  

@echo off 

dir “c:\Documents and Settings” >> %temp%\download 

dir “c:\Program Files\ 

” >> %temp%\download 

net start >> %temp%\download 

net localgroup administrator >> %temp%\download 

netstat -ano >> %temp%\download

多くのコマンドは Windows コマンドを悪用する状況の「初期調査」と「探索活動」のコマンドに当てはまります。しかしながら del コマンド(ファイルの削除)は、当てはまりません。マルウェアの動作特性上、実行したファイルを削除するために使われているものと考えられます。

また net localgroup コマンドで、管理者権限を持っているユーザをリストアップしている点も特徴的ですね。

 

事例5)南シナ海で地政学データを盗む Naikon APT

Kaspersky 社が公開している「The MsnMM Campaigns」に関するリサーチ情報から引用します。

Naikon は、南シナ海周辺地域の軍事組織、政府機関、民間企業を対象とした APT 集団です。攻撃対象と関連がありそうなファイルをメールに添付して開かせるという手法で、Microsoft Office の古い脆弱性を利用するそうです。

Second stage tools の部分で下記の記載があります。

Most of the Naikon APT’s second stage tools detected on victim networks are publicly-available. 

Some are very common system administration tools and utilities, and some are less publicly-available custom written scanners and tools available through Chinese hacking forums. Their ability to move through networks undisturbed appears to have matured over time, demonstrating that they are a seasoned team:
・Windows system utilities: ftp.exe, systeminfo.exeipconfignet viewpingnetstat -ano, net use, quser, tasklist, netsh interface ip, netsh interface show, netsh advfirewall firewall, reg export, AT

 

Windows コマンドを悪用する状況の「初期調査」と「探索活動」「感染拡大」のすべてにおいて関連するコマンドを使っていますね。レポートによれば、これらの Windows コマンドだけでなくその他のスキャンツールや権限昇格、UAC 回避、パスワード窃取ツールなども併用するようです。

参考
南シナ海で地政学データを盗むNaikon APT

 

まとめ

本記事では JPCERT/CC が公開した「攻撃者が悪用するWindowsコマンド(2015-12-02)」の Windows コマンドを簡単にまとめて、実際に Windows コマンドを悪用するマルウェアや攻撃の事例を5つ紹介しました。

アンチマルウェアソフトは利用するべきです。ただパターンファイルアップデートまでの期間であったり、マルウェアによって無効化されていたりする場合など、それだけで完璧な対策とはなりえません。ここで登場するのが「多層防御」というアプローチです。

ほんの少しの不自然な挙動が深刻なセキュリティインシデントの予兆であるということは、前述の5つのレポートに記載の通りです。攻撃を受けると長期間に渡って継続するので、「あれ?なにかおかしいぞ?」と気づくためのきっかけを増やすことが大切だと思います。

「Windows コマンドを監視する」というのは気づくためのきっかけであり、防御層を1つ追加することになります。必要なソフトや機能は、最近の Windows OS に備わっています。

足りない部分を補完し、インシデントを未然に防ぐことはできなくとも気づくきっかけになる。Windows コマンドの監視は、そんな可能性を秘めているのではないでしょうか。

 

Written by morihisa

2月 13th, 2016 at 10:12 pm

Posted in Security