難読化された PowerShell スクリプトの調査

Carbon Black Cloud コンソールは、難読化された PowerShell スクリプトの特定の詳細とデコードされたバージョンを公開できます。これは、これらのタイプの攻撃に対する可視性を強化するのに役立ちます。

この手順を使用すると、難読化された PowerShell スクリプトのデコードされた内容を表示できます。

手順

製品の構成に応じて、次のいずれかを実行します。

製品	手順
Endpoint Standard	[調査] > [観測] ページで、実行可能ファイルが powershell.exe となっているプロセスを検索します。検索機能は、直接入力して使用できます。 process_name: powershell.exe 検索の時間範囲を変更できます。結果をさらに絞り込むには、左側のペインのフィルタを使用します。その他の検索フィールドについては、ページの右上に組み込まれた検索ガイドを参照してください。
Enterprise EDR	[プロセス] タブで、実行可能ファイルが powershell.exe であるプロセスを検索します。検索機能は、直接入力して使用できます。 process_name: powershell.exe 検索の時間範囲を変更できます。結果をさらに絞り込むには、左側のペインのフィルタを使用します。その他の検索フィールドについては、ページの右上に組み込まれた検索ガイドを参照してください。

製品

手順

Endpoint Standard

[調査] > [観測] ページで、実行可能ファイルが powershell.exe となっているプロセスを検索します。

検索機能は、直接入力して使用できます。

process_name: powershell.exe

検索の時間範囲を変更できます。結果をさらに絞り込むには、左側のペインのフィルタを使用します。

その他の検索フィールドについては、ページの右上に組み込まれた検索ガイドを参照してください。

Enterprise EDR

[プロセス] タブで、実行可能ファイルが powershell.exe であるプロセスを検索します。

検索機能は、直接入力して使用できます。

process_name: powershell.exe

検索の時間範囲を変更できます。結果をさらに絞り込むには、左側のペインのフィルタを使用します。

その他の検索フィールドについては、ページの右上に組み込まれた検索ガイドを参照してください。

[Process CMD ]の Expand (展開)

をクリックすると、PowerShell 以外のプロセスと PowerShell プロセス間の出力の違いがわかります。

PowerShell 以外のプロセスの場合、コマンドライン引数は [CMD] の下に表示されます。
難読化された PowerShell プロセスの場合、[キーインジケータ] の下にデコードされたスクリプトコードは色付きテキストと強調表示されたキーワードが表示されます。

アラートのトリアージまたは脅威ハンティングに進み、目的が悪意のあるものかどうかを判断します。