Windowsサインイン時に登場するコマンド画面をMDATPで追跡

皆さんこんにちは。国井です。

Windowsコンピューターの電源を入れて、サインイン画面でユーザー名とパスワードを入れて、、サインインが完了するとコマンドプロンプトの画面が勝手に立ち上がること、ありませんか?これが1990年代だったら「ウイルスだ!」とか言って大騒ぎしたと思うのですが、今は2020年代。Windowsが内部的な処理で、ログオンスクリプト(?)でコマンドプロンプトを立ち上げることだってあるでしょう。

しかし、それが何かよくわからないから怖い。
そんなもんだから、あれは絶対ウイルスだ!とか言って根拠のない心配をする人もいるでしょう。そんなときはMicrosoft Defender ATP改めMicrosoft Defender for Endpointを使って、白黒つけましょう!

コンピューター起動時の状況をMDATPのタイムラインで追跡

MDATPにオンボーディングされたデバイスのログはアラートの有無にかかわらず、Microsoft Defender Security Centerのポータル画面にデバイスごとのタイムラインに表示されます。タイムラインでコンピューターを起動した日時のログを見てみると、cmd.exe を実行しているログを見つけることができました。

image

cmd.exeは何をしているのか?

cmd.exeのログが確認できたら、クリックして詳細を参照します。すると、cmd.exeからOneDriveSetup.exeを削除する操作を行っていることが確認できました。つまり、ゴミを消したってこと??

image

続いて別のログを見てみると、今度はrmdirコマンドを実行してフォルダーを削除していることが確認できました。

image

さらに別のログを見てみましょう。
こちらはcmd.exeからconhost.exeを呼び出して実行していることがわかります。
conhost.exeはcmd.exeの実行をお助けするプログラムなので、これも問題ないことがわかります。(conhost.exe自体がマルウェアに置き換わっているのでは?という疑う方はconhost.exeのリンクをクリックするとexeファイルについているデジタル署名の情報なども同時に確認できます)

image

以上を踏まえると、Windows 10を起動した時に出てくるコマンドプロンプトはメンテナンスタスクを実行しただけだったということがわかりました。

ということで、今日はMDATPのタイムラインの見かた、使い方を紹介しながら、
あるあるな疑問にお答えしてみました。

コンピューターで怪しいと思う動作があるなら、その動作が発生した日時を控えておき、MDATPのタイムラインで調べていけば、色々なことが明らかになって疑問や不安が解消できるのではないかと思います。

■ ■ ■
マルウェアの存在が広く知られるようになった2000年頃、コンピューターで何かあるとなんでもマルウェアのせいにする人いましたよね?プリンターで印刷したら、間違ったプリンタードライバーが入っていたみたいで、アラビア語みたいな文字が紙にびっしり印刷されたのを見て「先輩、プリンターがウイルスに感染しました!」って。
こんなとき、MDATPがあったら論理だてて説明できたんだけどな。

  • このエントリーをはてなブックマークに追加
  • Evernoteに保存Evernoteに保存

コメントをどうぞ

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

*

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください