PsExecの新たな実装

PsExecというツールがあります。
PsExecは、Windowsシステムやアプリケーションの管理、トラブルシューティングなどで役立つ無償ツールをまとめた「Windows Sysinternals」に含まれているツールで、Microsoftの純正ツールです。
1台または複数のリモートコンピューター上で任意のプロセスを実行することができるWindowsの軽量なリモートコマンド実行のクライアントです。
PsExecはコンソールアプリケーションの入出力ストリームをリダイレクトするため、Telnetセッションのように、ローカルで実行する感覚でプロセスを実行できます。
これにより、標準ではローカルコンピューターの操作しかできないコンソールユーティリティであっても、リモートで利用することができるようになります。

このようなもののため、PsExecは正規の用途で有用なツールなのですが、有用なツールは使い方次第で攻撃ツールにもなります。
PsExecは悪用されることの多いツールの一つです。

もともとのPsExecはその通信時に135/tcpと445/tcpを使用します。
このため、PsExecの悪用を防御しようとするツールの多くは445/tcpを監視することで攻撃を検出しようとします。
これまではこれで一定の効果を発揮することができました。

しかし事情が変化しました。
PsExecの新たな実装がリリースされました。
この新しい実装のPsExecは445/tcpを必要とせず135/tcpのみを使用して動作します。
このため、防御に使用している機構によってはこの新しいPsExecの動作を検出することはできません。

しかも、もともとのPsExecはリモートのファイルを実行する形式で動作するようになっているのですが、この新しいPsExecの実装はファイルレス動作を行うことができるという要素も持っています。

使用する通信の変化とファイルレス動作という2つの要素により、かなり検出が困難になったといえます。
もとのPsExecからして悪用されることが多いものだったため、既存のPsExecを悪用する脅威がこの新しいPsExecを使用するように変更される可能性を考えると恐ろしいことになりそうです。
PsExecの悪用に対する特効薬はありません。
堅実に日々の運用を実施していこうと思います。

参考記事（外部リンク）：New PsExec spinoff lets hackers bypass network security defenses
www.bleepingcomputer.com/news/security/new-psexec-spinoff-lets-hackers-bypass-network-security-defenses/