JPCERT/CC、攻撃に悪用されるWindowsコマンドを公開

　 [2015/12/02]

一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は2日、PCへ不正アクセスする攻撃者が使うWindowsコマンドの調査結果を公開した。通常の利用者が使うWindowsコマンドの集合と、攻撃者が使うWindowsコマンドの集合が大きくずれていた場合、Windowsコマンドの実行状況を監視/管理することで、攻撃者の動きを検知や抑制に役立てる。

攻撃までの流れには、感染した端末の情報を収集する「初期調査」、感染した端末内の情報やネットワーク内のリモート端末を探索する「探索活動」、感染端末から別の端末へ感染を拡大する「感染拡大」の3フェーズがあるが、JPCERT/CCによると、すべての攻撃フェーズでWindowsコマンドが悪用されるという。攻撃者が使うWindowsコマンドは下表の通り。

初期調査(上位10コマンド)

順位	コマンド	実行数
1	tasklist	155
2	ver	95
3	ipconfig	76
4	systeminfo	40
5	net time	31
6	netstat	27
7	whoami	22
8	net start	16
9	qprocess	15
10	query	14

探索活動(上位10コマンド)

順位	コマンド	実行数
1	dir	976
2	net view	236
3	ping	200
4	net use	194
5	type	120
6	net user	95
7	net localgroup	39
8	net group	20
9	net config	16
10	net share	11

感染拡大

順位	コマンド	実行数
1	at	103
2	reg	31
3	wmic	24
4	wusa	7
5	netsh advfirewall	4
6	sc	4
7	rundll32	2

	【レポート】2015年のセキュリティ10大事件、ビジネスマンの認知度第1位は6月に発覚したあの事件 [2015/11/13]
	BaiduのAndroid用SDKにバックドア機能 - 「Simejiには利用なし」 [2015/11/9]
	Apple IDを詐取するフィッシング詐欺増加 - 個人情報の不正アクセス被害も [2015/10/29]
	国内ネットバンキングを狙うトロイの木馬、アクセス先URLやタイトルを監視 [2015/10/16]
	カスペルスキー、Windows・Mac・Androidに対応した総合セキュリティソフト [2015/10/13]

JPCERT/CC、攻撃に悪用されるWindowsコマンドを公開

初期調査(上位10コマンド)

探索活動(上位10コマンド)

感染拡大

関連記事

関連サイト

新着記事