一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）は2日、「攻撃者が悪用するWindowsコマンド」のランキングを発表した。侵入した攻撃者が情報を収集するために、またはネットワーク内で感染を拡大させるために使用されているWindowsコマンドについて、3つの攻撃グループで実際に実行されていた件数を集計したもの。

遠隔操作を行うためのマルウェア（RAT）には、リモートからコマンドシェルを実行する機能を持つものがあり、Windowsコマンドをリモートから実行可能。マルウェアをネットワーク内に侵入させた攻撃者は、下記の流れでネットワークシステムを攻略し、機密情報の収集を試みるというが、すべての攻撃フェーズでWindowsコマンドが使用されている。

初期調査：感染した端末の情報を収集する

探索活動：感染した端末に保存された情報や、ネットワーク内のリモート端末を探索する

感染拡大：感染した端末を別のマルウェアにも感染させる、または別の端末にアクセスを試みる

初期調査フェーズでは、攻撃者は「tasklist」「ver」「ipconfig」「systeminfo」などのコマンドを使用し、ネットワーク情報やプロセス情報、OS情報を収集する。これは、侵入した端末が、マルウェアを解析するためのおとりの環境でないかを確認していると考えられるという。

初期調査(上位10コマンド) 順位 コマンド 実行数 1 tasklist 155 2 ver 95 3 ipconfig 76 4 systeminfo 40 5 net time 31 6 netstat 27 7 whoami 22 8 net start 16 9 qprocess 15 10 query 14

探索活動フェーズでは、「dir」「type」コマンドを使用してファイルを探索する。dirコマンドに適切な引数を指定することで、感染端末内のファイル一覧を収集できる。また、ネットワークの探索には「net」コマンドが用いられ、接続可能なドメインのリソース一覧を取得する「net view」や、ローカルおよびドメインのアカウント管理「net user」などが多用されているという。

このほか、Active Directoryを使用している環境では、アカウントを検索する「dsquery」、アカウントの情報を取得する「csvde」など、Windows Serverに搭載されているコマンドが使用される。本来、クライアントOSには存在しないコマンドだが、攻撃者は外部からコマンドをインストールして実行するという。

探索活動(上位10コマンド) 順位 コマンド 実行数 1 dir 976 2 net view 236 3 ping 200 4 net use 194 5 type 120 6 net user 95 7 net localgroup 39 8 net group 20 9 net config 16 10 net share 11

感染拡大フェーズでは、リモート接続可能な端末に対して特定ファイルを実行できる「at」のほか、特定の引数を指定することでリモート端末上でコマンドを実行できる「wmic」が多用されているという。wmicは、探索活動にも用いられている。

感染拡大 順位 コマンド 実行数 1 at 103 2 reg 31 3 wmic 24 4 wusa 7 5 netsh advfirewall 4 6 sc 4 7 rundll32 2

これらのコマンドは、一般的な用途では使用しないものが多い。普段使用しないコマンドを、Microsoftの「Windows AppLocker」やソフトウェア制限ポリシーで制限することで、攻撃者の動きを抑制することができるとしている。JPCERT/CCのウェブサイトでは、実際に特定のコマンド実行を制限する方法を紹介している。