一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は2日、PCへ不正アクセスする攻撃者が使うWindowsコマンドの調査結果を公開した。通常の利用者が使うWindowsコマンドの集合と、攻撃者が使うWindowsコマンドの集合が大きくずれていた場合、Windowsコマンドの実行状況を監視/管理することで、攻撃者の動きを検知や抑制に役立てる。

攻撃までの流れには、感染した端末の情報を収集する「初期調査」、感染した端末内の情報やネットワーク内のリモート端末を探索する「探索活動」、感染端末から別の端末へ感染を拡大する「感染拡大」の3フェーズがあるが、JPCERT/CCによると、すべての攻撃フェーズでWindowsコマンドが悪用されるという。攻撃者が使うWindowsコマンドは下表の通り。

初期調査(上位10コマンド)

順位 コマンド 実行数
1 tasklist 155
2 ver 95
3 ipconfig 76
4 systeminfo 40
5 net time 31
6 netstat 27
7 whoami 22
8 net start 16
9 qprocess 15
10 query 14

探索活動(上位10コマンド)

順位 コマンド 実行数
1 dir 976
2 net view 236
3 ping 200
4 net use 194
5 type 120
6 net user 95
7 net localgroup 39
8 net group 20
9 net config 16
10 net share 11

感染拡大

順位 コマンド 実行数
1 at 103
2 reg 31
3 wmic 24
4 wusa 7
5 netsh advfirewall 4
6 sc 4
7 rundll32 2