【永続化編】cron・systemd・scheduled task・WMIで居座る手口と検知｜CTF思考フレームワーク #39

こんにちは、アンペンです！

前回は、コンテナの隔離を破るカーネル脆弱性とエスケープを扱いました。

今回は、攻撃者が侵入後に再起動やパッチ後も生き残るために仕込む永続化(Persistence)を見ていきます。cron・systemd・scheduled task・WMIで居座る手口と検知を学びましょう。

侵入されてもPCを再起動すれば消えるんじゃないの？

攻撃者はまず『再起動後も生き残る仕掛け』を仕込むんだ。cronやscheduled taskが典型で、これを片付けないと完全駆除にならない。

『侵入されても、PCを再起動すればリセットされる』——そう思っている人は多いかもしれません。でも残念ながら、腕のいい攻撃者ほど、侵入してまず最初に“再起動しても生き残る仕掛け”を仕込みます。これが永続化（Persistence）。お掃除したつもりでも、電源を入れ直した瞬間に攻撃者が戻ってくる——そんな事態を防ぐ話です。今日は『毎朝の点検リスト』のたとえで見ていきます。

永続化は『再起動後も動く場所に仕込む』

OSには、正規の運用のために『再起動時や特定のタイミングでプログラムを自動起動する場所』があります。攻撃者は、ここに自分のコードや起動エントリを仕込むことで『電源を落としても消えない侵入』を実現します。

主な仕込み場所は、Linuxとwindowsで分かれます。

ここが永続化の“見つけにくさ”の核心です。攻撃者が追加するのは、たいてい“ごく普通に見える1行”。cronに1行、スタートアップに1項目——どれも、もともと並んでいる正規のエントリと見た目がそっくりです。だから「なんか怪しいものはないか？」と眺めるだけでは、まず見抜けない。“正規のものを全部知っている”状態でないと、紛れ込んだ偽物には気づけないんです。

そもそもOSには、『起動時や決まった時間に、自動でプログラムを動かす』仕組みが、もともとたくさん備わっています。バックアップやアップデートなど、正規の運用に必要だからです。攻撃者は、新しい怪しい仕組みを作るのではなく、この“もとからある自動起動の仕組み”に、自分のプログラムをこっそり登録します。正規の機能に紛れ込むからこそ、ぱっと見では気づきにくい。これが永続化の巧妙なところです。

図解：通常運用と永続化が仕込まれた状態

通常のサーバには既知の自動起動エントリがあります。攻撃者が新しいエントリを追加すると、見た目は普通でも『余計な1行』が増えています。

だからこそ効くのが『ベースライン』です。これは“平常時のお手本”——「このサーバの自動起動は、本来これだけ」というリストを、きれいな状態のうちに保存しておくこと。すると、あとで比べたとき「お手本には無い1行が増えてる！」と一発で分かります。怪しさを“目利き”で探すのではなく、“お手本との違い”で機械的に見つける。間違い探しも、正解の絵があれば一瞬ですよね。それと同じ発想です。

永続化の代表的な場所

永続化が仕込まれる場所は、OSごとに“定番スポット”があります。Linuxならcronやsystemd、Windowsならスケジュールタスクやレジストリの起動キー。守る側は、まずこの“定番の隠れ場所”を一通り知っておくことが大事です。攻撃者の常套手段を知っていれば、巡回すべき場所が分かります。

Linux / Windows の主要パス

• Linux： cron / crontab / systemd unit / .bashrc 系 / /etc/ld.so.preload / SSH authorized_keys
• Windows： Scheduled Task / Run/RunOnce レジストリ / Services / WMI Event Subscription / Startup フォルダ
• 共通： 起動スクリプト / アプリケーションのプラグイン / クラウド側の Lambda・Cloud Functions など

WMI Event Subscriptionなど、目立たない場所に仕込まれる例も多くあります。EDRやSysmonのような『振る舞いの可視化』ツールがあると、これらの発見が早くなります。

永続化が、インシデント対応で特に重要なのには理由があります。それは“駆除の最後の関門”だから。マルウェア本体を消し、入口の穴をふさいでも、永続化の仕掛けが1つでも残っていれば、攻撃者はまた戻ってきます。「直したはずなのに、また侵入される」——その多くは、この消し残しが原因。だから対応の締めくくりには、必ず「永続化を全部消したか？」の確認が欠かせないんです。

練習は、自分のサーバや端末の“自動起動リスト”を、洗いざらい書き出してみることです。WindowsならAutorunsという定番ツールが便利。これを“ベースライン”として保存しておけば、次に何か追加されたとき、すぐ気づけます。攻撃ではなく、自分のPCの“正規の地図づくり”ですね。もちろん他人の環境で永続化を仕込むのは厳禁です。

CTFでやってみよう：自動起動を棚卸し

守りの考え方は、ここまでの話で半分見えています。会話で締めましょう。

結局、怪しい自動起動を見つけて消せばいいんでしょ？

方向は合ってる。でも“怪しい”を見抜くのが、実はいちばん難しいんだ。攻撃者の1行は、正規の1行とそっくりに作られているからね。だから順番が逆で、『まず“正規のもの”を全部リスト化（ベースライン）しておく』のが先。そうすれば、あとは“リストに無いもの”を疑えばいい。さらにEDRやSysmonで「新しいタスクが作られた」という動き自体を見張れば、仕込まれた瞬間に気づける。“怪しさ探し”から“差分検知”へ——これが永続化対策の発想転換だよ。

守る側なら、「ベースライン+差分監視+EDR」

永続化対策の核は、「正規の自動起動の一覧をベースライン化」「差分を継続監視」「振る舞いをEDR/Sysmonで可視化」の3点です。

『何が正規』を知らないと、見つけられないんだね。

そう。ベースラインがないと、永続化は埋もれやすい。普段からの『正規の地図』作りが効くよ。

ここまでをひと言で言うと、永続化対策は『正規の地図を持ち、差分で気づく』。攻撃者は正規の仕組みに紛れて居座るので、“怪しいものを探す”戦法では埋もれてしまいます。平常時にベースラインを取り、変化を監視し、駆除のときは消し残しがないか確認する。地味ですが、これが“また戻ってくる攻撃者”を断つ確実な道です。

まとめ：『正規の地図』を持って差分で気づく

今日の持ち帰りは『お掃除の最後は、永続化チェックで締める』です。侵入対応で本体を消して安心しがちですが、本当の完了は“居座りの仕掛けを全部消したか”を確かめてから。そのためには、平常時の“正規の地図（ベースライン）”が何より頼りになります。きれいなうちに地図を作っておく——それが、いざという時のいちばんの備えです。

次回は、攻撃者が痕跡を消すための検知回避・痕跡消去を扱います。EDR Bypass・ログ消去・LOLBinsの発想と防御を見ていきましょう。

次に読みたい記事

参考資料