端末感染状況の確認方法

今回は「端末の挙動がおかしい…」「端末がすごく重い…」など
マルウェア感染が疑われる場合に、
端末が感染していないか確認する方法をご紹介します。
私がWindowsユーザなので、Windows端末の確認方法となります。

注目すべき項目は以下の7つです。
１．動作中のプロセス
２．ネットワークの使用状況
３．起動中のサービス
４．ASEP(既知の自動開始エントリポイント)
５．スケジュールされたタスク
６．不審なアカウント

1. 動作中のプロセスの確認

よく使うWindows端末でのプロセスの確認コマンドは以下の4つです。
１．C:> wmic process list brief
→起動中のプロセスについて簡易な情報を表示するコマンド
２．C:> wmic process list full
→起動中のプロセスについて詳細な情報を表示するコマンド
３．C:> wmic process where processid=プロセスID get commandline
→特定のプロセスIDの情報のみを表示するコマンド
４．C:> wmic path Win32_PerfFormattedData_PerfProc_Process WHERE "PercentUserTime > 10" GET Name,IDProcess,PercentUserTime /FORMAT:LIST
→CPU使用率を表示するコマンド

私が使うのは、4のCPU使用率を表示するコマンドを用いて、CPU使用率が大きいprocessの確認。3の特定のプロセスID情報のみを表示するコマンドでCPU使用率が大きいprocessの確認。問題があれば、processをkillします。その際は、念のため親プロセスまで確認することをお勧めします。

たまにデータがエンコードされている場合もあるので、その際は、
CyberChefなどを使って出コードしたりします。
サイバーシェフ (cyberchef.org)

2. ネットワークの使用状況の確認

TCP/IPの調査を以下のコマンドで行いNWの調査を行います。

C:> netstat -nao

このコマンドを使い確認する観点は以下の5点です。
①真夜中など変な時間に通信していないか
②ビーコン通信をしている
※ビーコンとは、一定の時間間隔に無線で半径数メートルから数十メートルの範囲に信号を発する装置のことで、観光地などでガイド情報を配信する際に使います。
③端末から社内の別の端末に通信を行なっている
→ラテラルムーブメントの際によく起こる事象です。
④メモ帳などWebアプリケーション以外のアプリが80番ポートに通信している
⑤悪意のあるドメインやIPに通信している
→脅威情報を参考に見比べる必要があります。

3. 起動中のサービスの確認

起動中のサービスについては以下のコマンドで確認します。
１．C:>  (GUIで起動中のサービスを確認するコマンド)
２．C:> net start (CLIで起動中のサービスを確認するコマンド)
３．C:> tasklist /svc (起動中のサービスとプロセスの紐づけを確認するコマンド)

4. ASEP(既知の自動開始エントリポイント)の確認

ソフトウェアを自動で起動するためのファイルパスとレジストリキー(ASEP)があります。これはマルウェアがよく悪用するレジストリキーとなるため要チェックです。コマンドは以下の3つです。
※ASEP(レジストリキー)とは、Windowsでシステムの設定情報などを記録したデータベースである「Windowsレジストリ」に記録されている個別の情報識別名のことです。

１．C:> reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run
２．C:> reg query HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
３．C:> reg query HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

5. 不審なアカウントの確認

管理者グループに不審なアカウントがいないか確認するコマンドは以下の2つです。

１．C:> lusrmgr (GUIでアカウントを確認するコマンド)
２．C:> net user (CLIでアカウント一覧を確認するコマンド)

6. スケジュールされたタスクの確認

不審なスケジュールされたタスクがないか確認するコマンドは以下の通りです。

C:> schtasks

今回は以上です！次回はもう少し詳しいネットワーク調査についてご紹介します。