拡張頭蓋 | Extended Cranium

もしかすると誰かの役に立つかもしれないことを書き留めておく

2018-03-15 セキュリティニュースまとめ: ログイン情報窃取を狙う PowerShell スクリプトについての注意喚起

ログイン情報窃取を狙う PowerShell スクリプトについての注意喚起

元記事

www.bleepingcomputer.com

概要

  • Github に認証情報窃取を狙う PowerShell スクリプトが投稿される*1
  • 実行されるとログイン画面が表示され、うっかりユーザーが認証情報を入力すると、入力した情報でドメインにアクセスできることを確認した上で情報が外部に送信される
  • Get-Credential PowerShell コマンドレット (参考)を悪用したもの
  • スクリプトを拡散することで多数の被害者から認証情報を窃取することができる

対策

  • ログイン ダイアログボックスのタイトル文字列が「Windows PowerShell credential request」だったら当該コマンドレットによる画面なのでタスクマネージャから終了する
    • ただしタイトル文字列は自由に変更可能なので、この文字列ではなくても安全ではない
  • 突然認証ダイアログボックスが表示された場合は、認証情報を入力せず、タスクマネージャから Windows PowerShell プロセスが起動していないかどうかを確認し、プロセスを手動で終了した場合にダイアログボックスも消えるかどうかを確認する

*1:元記事からのリンクなし