Trusted Design

T1028 - Windows Remote Management

概要

Windows Remote Management (WinRM) is the name of both a Windows service and a protocol that allows a user to interact with a remote system (e.g., run an executable, modify the Registry, modify services). (Citation: Microsoft WinRM) It may be called with the winrm command or by any number of programs such as PowerShell. (Citation: Jacobsen 2014)

管理者によるコメント

T1028「Windows Remote Management」（WinRM） は、Windowsシステムをリモートで管理するための正規のプロトコルであるWinRMを悪用して、ネットワーク内の他のコンピュータでコマンドを実行（横展開）する手法です。

1. 概要

この手法で攻撃者は、「正規の管理ツールを隠れ蓑にした、自由度の高いリモート操作」を実現します。

何を実現できるのか

• 横展開 (Lateral Movement): 奪取した認証情報を用いて、別の端末やサーバーに接続し、感染を拡大させる。
• リモートでのコード実行: 対話型シェル（PowerShellなど）を開始し、ターゲット端末上で直接プログラムのインストールやデータの窃取を行う。
• 検知の回避: WinRMは多くの企業でIT管理のために標準的に利用されているため、攻撃通信が正規の管理作業に紛れ込みやすくなります。

2. 攻撃の流れ

攻撃者は、少なくとも1つの有効なアカウント（通常は管理者権限）を保持している必要があります。

1. ターゲットの選定: ネットワーク内の他の端末をスキャンし、WinRMサービス（デフォルトではTCPポート5985/5986）が動作しているサーバー等を見つけます。
2. 認証情報の投入: 既に盗み出しているパスワードやパス・ザ・ハッシュ（Pass-the-Hash）の手法を用いて、ターゲットへ接続を試みます。
3. コマンド実行:
   • PowerShell Remoting: Enter-PSSession や Invoke-Command を使用して、リモートでスクリプトを実行します。
   • WinRS: winrs.exe を使用してコマンドプロンプト経由で命令を送ります。
4. 永続化・目的の遂行: 接続した先でさらに別の認証情報を探したり、バックドアを設置したりします。

3. 防御・対策

「誰が」「どこから」WinRMを使っているかを厳格に管理することが重要です。

• WinRMの無効化: 必要のない全ての端末（特に一般クライアントPC間）でWinRMサービスを無効にします。
• 多要素認証 (MFA) と最小権限: リモート管理を許可するユーザーを特定の管理グループに制限し、接続時にはMFAを要求します。
• ネットワーク分離: 管理者端末からサーバーへのWinRM通信のみを許可するよう、ファイアウォール（ホスト型およびネットワーク型）で厳格に制限します。
• ログ監視: Windowsイベントログの Microsoft-Windows-WinRM/Operational を監視し、不審なIPアドレスからの接続試行や、不自然な時間帯のセッション確立がないかを確認します。

4. 重要ポイント

• 「生活の知恵」攻撃 (Living off the Land): OS標準の機能だけで完結するため、攻撃者が新たなツールを持ち込む必要がなく、ファイルレス（Fileless）な攻撃を可能にします。
• PowerShellとの親和性: WinRMはPowerShell Remotingの基盤であるため、攻撃者は非常に強力なスクリプト機能をフル活用できます。

5. 関連する主なCWE

• CWE-287: Improper Authentication: WinRMの認証プロセスが不適切に構成されている場合、なりすましを許す可能性があります。
• CWE-285: Improper Authorization: 誰にでもリモート管理権限を与えてしまう設定上の不備。

6. 関連する代表的なCVE・ツール

WinRMはプロトコルであるため、脆弱性そのものよりは「ツール」や「インシデント」で名前が挙がります。

• Empire / Metasploit: これらの有名なペネトレーションテスト（および攻撃用）フレームワークには、WinRMを利用して横展開を行うモジュールが標準搭載されています。
• APT28 / Sandworm: ロシア背景の攻撃グループが、組織内の移動やC2通信のトンネルとしてWinRMを悪用することが報告されています。
• CVE-2020-1032: 以前存在した、WinRMが特定の要求を処理する際に特権昇格を許してしまう脆弱性の例です（現在は修正済み）。

実務上のヒント:

環境内でWinRMが正常に使われている場合、その通信はデフォルトで暗号化されていますが、「どの端末からどのサーバーへ」の通信が正常なパターンなのかをベースラインとして定義しておくことが、検知の第一歩となります。

分析

この攻撃手法を利用する脅威アクター

この攻撃手法を利用する脅威アクターは登録されていません。

関連する CVE

この攻撃手法に関連する CVE は登録されていません。

攻撃手法 – 脅威アクター Graph

---

← Technique一覧に戻る ← Tactics一覧に戻る