Trusted Design

T1059 - Command and Scripting Interpreter

概要

Adversaries may abuse command and script interpreters to execute commands, scripts, or binaries. These interfaces and languages provide ways of interacting with computer systems and are a common feature across many different platforms. Most systems come with some built-in command-line interface and scripting capabilities, for example, macOS and Linux distributions include some flavor of Unix Shell while Windows installations include the Windows Command Shell and PowerShell.

There are also cross-platform interpreters such as Python, as well as those commonly associated with client applications such as JavaScript and Visual Basic.

Adversaries may abuse these technologies in various ways as a means of executing arbitrary commands. Commands and scripts can be embedded in Initial Access payloads delivered to victims as lure documents or as secondary payloads downloaded from an existing C2. Adversaries may also execute commands through interactive terminals/shells, as well as utilize various Remote Services in order to achieve remote Execution.(Citation: Powershell Remote Commands)(Citation: Cisco IOS Software Integrity Assurance - Command History)(Citation: Remote Shell Execution in Python)

管理者によるコメント

T1059「Command and Scripting Interpreter」（コマンドとスクリプトのインタープリター） は、攻撃者がシステムを操作するために、OSに標準搭載されているコマンドラインやスクリプト環境を悪用する手法です。

この手法は非常に汎用的で、ほぼすべての攻撃フェーズ（偵察、実行、永続化、横展開など）で使用される「攻撃のエンジン」といえます。

1. 概要

この手法で攻撃者は、「既存の正規ツールを用いた、自由度の高い命令実行」を実現します。

何を実現できるのか

• コード実行: 独自のマルウェアを持ち込む代わりに、OS標準のインタープリターに直接命令を送ることで、検知を避けながら活動します。
• ファイルレス攻撃: スクリプトをメモリ上で直接実行することで、ディスクにファイルを残さず、従来のアンチウイルスを回避します。
• 自動化: 複雑な攻撃手順を一連のスクリプトとして実行し、迅速に目的を達成します。

2. 攻撃の種類（サブテクニック）

T1059は、使用される環境によって多くのサブテクニックに分かれています。

• T1059.001: PowerShell: Windowsの強力なシェル。.NET Frameworkにアクセスできるため、ほぼ何でも可能です。
• T1059.003: Windows Command Shell: 従来の cmd.exe。バッチファイル（.bat）などを実行します。
• T1059.004: Unix Shell: Linux/macOSの bash や sh。シェルスクリプトを悪用します。
• T1059.005: Visual Basic: Windowsの VBScript や WSH。Officeマクロなどと組み合わされます。
• T1059.006: Python: サーバー環境で広く使われるPythonを悪用した攻撃。
• T1059.007: JavaScript: Windows上の JScript や、ブラウザを介した実行。

3. 攻撃の流れ

攻撃者はフィッシングメールや脆弱性悪用を通じて、これらのインタープリターにアクセスします。

1. 侵入・呼び出し: フィッシングメールの添付ファイルを開くと、背後で powershell.exe や cmd.exe が起動するように仕込みます。
2. 難読化: コマンドをそのまま打つと検知されるため、文字をバラバラにしたり、Base64でエンコードしたりして隠蔽します。
   • 例: powershell.exe -EncodedCommand [長い文字列]
3. ペイロードの展開: ネットワーク経由で次のマルウェアをダウンロードさせたり、レジストリから隠されたスクリプトを読み取って実行したりします。
4. 目的の遂行: データの持ち出し、ユーザーパスワードの収集、他のPCへの感染拡大などを行います。

4. 防御・対策

「正規ツール」を止めることは難しいため、その「使い方」を監視・制限する必要があります。

• スクリプト実行ポリシーの制限: PowerShellの ExecutionPolicy を AllSigned などに設定し、署名のないスクリプトを実行不可にします。
• 詳細なログ記録: PowerShellの「スクリプトブロックログ（Event ID 4104）」を有効化します。これにより、難読化を解いた後の「生の命令」を記録できます。
• 制約付き言語モード (Constrained Language Mode): PowerShellの機能を大幅に制限し、攻撃によく使われる高度な操作（API呼び出しなど）を禁止します。
• EDRによるプロセス監視: office.exe が cmd.exe を起動するといった「不自然な親子関係」を検知し、即座に遮断します。

5. 重要ポイント

• Living off the Land (LotL): 「自給自足型」の攻撃。攻撃者が自前のツールを使わず、OSにあるものだけで攻撃を完結させるため、ホワイトリスト型のセキュリティを容易に突破します。
• AMSI (Antimalware Scan Interface): Windowsの機能。スクリプトが実行される直前に内容をスキャンしてマルウェアかどうか判定する仕組みで、これとの攻防が激化しています。

6. 関連する主なCWE / CVE

• CWE-77: Command Injection: アプリケーションがユーザー入力を適切に処理せず、OSコマンドとして実行してしまう脆弱性。
• CVE-2021-40444: MSHTMLの脆弱性。Office文書からActiveXを介してコントロールを奪い、最終的にスクリプトを実行させました。
• CVE-2022-30190 (Follina): Microsoftサポート診断ツール(MSDT)を介して、PowerShellコマンドを直接実行させた脆弱性。

実務上のアドバイス

現代の攻撃のほとんどは T1059（特にPowerShell）を経由します。管理者が普段使わないような難読化された長いコマンドライン引数は、それだけで「侵害の証拠（IoC）」として扱うべきです。

分析

この攻撃手法を利用する脅威アクター

• HAFNIUM

関連する CVE

この攻撃手法に関連する CVE は登録されていません。

攻撃手法 – 脅威アクター Graph

---

← Technique一覧に戻る ← Tactics一覧に戻る