一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は2日、PCへ不正アクセスする攻撃者が使うWindowsコマンドの調査結果を公開した。通常の利用者が使うWindowsコマンドの集合と、攻撃者が使うWindowsコマンドの集合が大きくずれていた場合、Windowsコマンドの実行状況を監視/管理することで、攻撃者の動きを検知や抑制に役立てる。
攻撃までの流れには、感染した端末の情報を収集する「初期調査」、感染した端末内の情報やネットワーク内のリモート端末を探索する「探索活動」、感染端末から別の端末へ感染を拡大する「感染拡大」の3フェーズがあるが、JPCERT/CCによると、すべての攻撃フェーズでWindowsコマンドが悪用されるという。攻撃者が使うWindowsコマンドは下表の通り。
初期調査(上位10コマンド)
順位 |
コマンド |
実行数 |
1 |
tasklist |
155 |
2 |
ver |
95 |
3 |
ipconfig |
76 |
4 |
systeminfo |
40 |
5 |
net time |
31 |
6 |
netstat |
27 |
7 |
whoami |
22 |
8 |
net start |
16 |
9 |
qprocess |
15 |
10 |
query |
14 |
探索活動(上位10コマンド)
順位 |
コマンド |
実行数 |
1 |
dir |
976 |
2 |
net view |
236 |
3 |
ping |
200 |
4 |
net use |
194 |
5 |
type |
120 |
6 |
net user |
95 |
7 |
net localgroup |
39 |
8 |
net group |
20 |
9 |
net config |
16 |
10 |
net share |
11 |
感染拡大
順位 |
コマンド |
実行数 |
1 |
at |
103 |
2 |
reg |
31 |
3 |
wmic |
24 |
4 |
wusa |
7 |
5 |
netsh advfirewall |
4 |
6 |
sc |
4 |
7 |
rundll32 |
2 |