JPCERT/CC、攻撃者が悪用するWindowsコマンドの調査結果を発表

JPCERT/CCは12月2日、分析センターだより「攻撃者が悪用するWindowsコマンド(2015-12-02)」を公開した。発表では、攻撃者が侵入したWindows上で使用するコマンドを明らかにするとともに、攻撃による影響を低減する方法を示している。

JPCERT/CCによると、攻撃者が感染端末の情報収集によく使用するコマンドのうち、最も多かったのは「tasklist」だったという。攻撃者は、tasklistやver、ipconfig、systeminfoなどのコマンドにより、ネットワーク情報やプロセス情報、OS情報などを収集して、どのような端末に感染したのかを調査している。

また、機密情報の探索やネットワーク内のリモート端末の探索においては、dirが最もよく使用されていることがわかった。攻撃者は、ファイルを探索するためにdirおよびtypeを使い、ネットワークの探索にはnetコマンドが使っている。

ネットワーク内のリモート端末への侵入・感染を拡大するフェーズでは、atが最もよく使われている。atやwmicは、リモート端末上でマルウエアを実行するために利用され、wmicコマンドで引数を指定することにより、リモート端末上のコマンドを実行することができる。