Technique - T1204-

T1204 - User Execution

概要

An adversary may rely upon specific actions by a user in order to gain execution. Users may be subjected to social engineering to get them to execute malicious code by, for example, opening a malicious document file or link. These user actions will typically be observed as follow-on behavior from forms of Phishing.

While User Execution frequently occurs shortly after Initial Access it may occur at other phases of an intrusion, such as when an adversary places a file in a shared directory or on a user's desktop hoping that a user will click on it. This activity may also be seen shortly after Internal Spearphishing.

Adversaries may also deceive users into performing actions such as:

Enabling Remote Access Tools, allowing direct control of the system to the adversary
Running malicious JavaScript in their browser, allowing adversaries to Steal Web Session Cookies(Citation: Talos Roblox Scam 2023)(Citation: Krebs Discord Bookmarks 2023)
Downloading and executing malware for User Execution
Coerceing users to copy, paste, and execute malicious code manually(Citation: Reliaquest-execution)(Citation: proofpoint-selfpwn)

For example, tech support scams can be facilitated through Phishing, vishing, or various forms of user interaction. Adversaries can use a combination of these methods, such as spoofing and promoting toll-free numbers or call centers that are used to direct victims to malicious websites, to deliver and execute payloads containing malware or Remote Access Tools.(Citation: Telephone Attack Delivery)

管理者によるコメント

T1204「User Execution」（ユーザー実行） は、攻撃者が送り込んだ悪意のあるファイルやリンクを、「ユーザー自身の手で」実行・クリックさせる手法です。

技術的な脆弱性（バグ）を突くのではなく、人間の心理的な隙やミスを突く「ソーシャルエンジニアリング」と密接に関わっています。

1. 概要

この手法で攻撃者は、「高度な脆弱性悪用（エクスプロイト）を使わずとも、システム内部でコードを動かすこと」を実現します。

*何を実現できるのか

初期侵入: ユーザーが「実行」ボタンを押すことで、セキュリティソフトの警告をユーザー自ら無視させ、マルウェアを確実に起動させます。
検知の回避: ユーザーが意図して起動したプロセスとして扱われるため、一部の動的解析において「正規の操作」と誤認される可能性があります。

2. 攻撃の種類（サブテクニック）

攻撃者は、ユーザーが日常的に行う「開く」「クリックする」という動作に罠を仕掛けます。

T1204.001: Malicious Link（悪意のあるリンク）:
- メールやチャットで送られてきたURLをクリックさせ、ブラウザを介してマルウェアをダウンロードさせたり、偽のログイン画面に誘導したりします。
T1204.002: Malicious File（悪意のあるファイル）:
- 添付されたファイル（.exe, .vbs, .lnk, .docmなど）をダブルクリックさせます。
- 「請求書.pdf.exe」のように二重拡張子にしたり、アイコンをPDFに偽装したりして、実行ファイルであることを隠します。
T1204.003: Malicious Image（悪意のあるイメージ）:
- ISOファイルや仮想ディスク（VHD）ファイルをマウントさせ、その中にあるショートカットを実行させます。近年のメールフィルターを回避するために多用されます。

3. 攻撃の流れ

攻撃は技術よりも「物語（シナリオ）」が重要になります。

シナリオの準備: 「緊急の支払い依頼」「アカウント停止の警告」「荷物の再配達」など、ユーザーが思わずクリックしてしまう内容を作成します。
配布: 大量送信メール（スパム）や、特定の人物を狙ったスピアフィッシングで届けます。
ユーザーの操作: ユーザーが「コンテンツの有効化」をクリックしたり、圧縮ファイルのパスワードを入力して中身を実行したりします。
感染完了: ユーザーの権限でマルウェアが起動し、バックドアの設置やデータの暗号化が始まります。

4. 防御・対策

「人間」を標的にしているため、技術的対策と意識改革の両面が必要です。

セキュリティ意識向上トレーニング (SA&T): 模擬フィッシングメールを定期的に実施し、不審なリンクやファイルを見分ける能力を養います。
添付ファイルの制限: 実行ファイル（.exe, .scr, .jsなど）をメールサーバー側でブロックします。また、マクロを含むOffice文書の実行をデフォルトで禁止します。
SmartScreen / 危険サイトのブロック: ブラウザやOSの機能で、既知の悪意あるURLへのアクセスを遮断します。
拡張子の表示設定: Windowsの設定で「登録されている拡張子は表示しない」をオフにし、ファイルの種類を正しく認識できるようにします。

5. 重要ポイント

「最後の壁」はユーザー: どんなに高価なセキュリティ製品を導入していても、ユーザーが「許可」や「実行」を押してしまえば、攻撃は成功してしまいます。
コンテキストの巧妙化: 最近では、実際の取引の返信（メールスレッドの乗っ取り）に擬態してファイルを送りつけるなど、プロでも見破るのが難しい手口が増えています。

6. 関連する代表的な事例

Emotet: Word文書の「コンテンツの有効化」ボタンをユーザーに押させることで、爆発的に感染を広げました。
BadRabbit: 偽のAdobe Flash Playerのアップデート通知を表示し、ユーザー自身にインストーラーを実行させる手法（ドライブバイダウンロードの変種）を採りました。
LNKファイル攻撃: ショートカットファイル（.lnk）を「書類」に見せかけて実行させ、背後でPowerShellを動かす手口が現在非常に流行しています。

実務上のアドバイス

インシデントログを調査する際、親プロセスが outlook.exe や browser.exe であり、その子が cmd.exe や不明な実行ファイルである場合、この T1204 が発生したことを示す決定的な証拠となります。

分析

この攻撃手法を利用する脅威アクター

攻撃手法 – 脅威アクター Graph

← Technique一覧に戻る ← Tactics一覧に戻る

Trusted Design