新たなロウハンマー技術がDDR4メモリの保護機能を突破 | Codebook|Security News

セキュリティ/サイバーインテリジェンス最新トレンドをご紹介

Codebook|Security News > Articles > Analyst's Choice > 新たなロウハンマー技術がDDR4メモリの保護機能を突破

新たなロウハンマー技術がDDR4メモリの保護機能を突破

Analyst’s Choice

「アナリスト・チョイス」では、弊社インテリジェンスアナリストが注目の記事をピックアップし、そこで取り上げられた脆弱性やマルウェアなどの脅威情報に対する洞察・ソリューションなどをコメントしています。

 

アナリスト:

Rory Morrissey

(Intelligence Architect @Machina Record)

 

Articles

Article.1

新たなロウハンマー技術がDDR4メモリの保護機能を突破

 

Article.2

検出回避に強いHTMLスマグリングの使用が増加

 

新たなロウハンマー技術がDDR4メモリの保護機能を突破

TRRなどの既存の対策を回避

新たなロウハンマー攻撃の技術を研究者が発見しました。

新しい技術では、一定でないパターンを用いて2行、またはそれ以上の攻撃行(攻撃対象となる行)に異なる頻度でアクセスします。研究者は、特殊なメモリアクセスのパターンを作成することにより、市販の既製システム上のDRAM(dynamic random access memory)に導入されている、すべての緩和対策を回避することができました。

研究者は、Blacksmithと名付けられたファジングツールに上記のパターンを実装し、同ツールが、実験対象となったすべてのPC-DDR4 DRAMデバイスのTarget Row Refresh(TRR)機能をパイパスできることを実証しました。

 

情報源:

1. https://arstechnica.com/gadgets/2021/11/ddr4-memory-is-even-more-susceptible-to-rowhammer-attacks-than-anyone-thought/

2.https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-42114

 

アナリストのコメント

影響範囲

研究者が今回テストしたDDR4 RAMモジュールはすべて、攻撃に対して脆弱でした。

このため、ほとんどの機器(スマートフォンのような小型の手持ち機器さえも)が影響を受けます。

 

見解

今回の脆弱性の影響は深刻です。

研究者は攻撃によって、root権限の獲得だけでなく、2048ビットのRSA公開鍵と結びついたプライベートキーの取得にも成功したため、正当な形でSSHホストとして認証される可能性があります。

次世代RAMのDDR5で今回の攻撃への耐性が増すかどうか、セキュリティ関係者たちはまだ確証を持てていません。

 

緩和戦略

現在実装済みの緩和策にロウハンマー攻撃を完全に防御できるものはありませんが、 誤り訂正符号に対応したRAM(ECC RAM)については、攻撃者が今回の脆弱性を悪用する上での困難がまだ残っています。

攻撃の実例はまだ観測されていませんが、ロウハンマー攻撃はほぼ観測不能であり、攻撃が発生していない、もしくは、今後発生しないとは限りません。一方で研究者らは、今回の脆弱性を解決することは、困難であるが不可能ではないだろうと楽観視しています。

 

検出回避に強いHTMLスマグリングの使用が増加

HTMLスマグリングとは

HTMLスマグリングとして知られる、検出回避性の高いマルウェア配布技術について、マイクロソフトの研究者が詳細に説明しました。アクター(攻撃者)は特別に作られたHTML添付ファイルやWebページに、エンコード済みの有害スクリプトを仕込んで攻撃を実行します。HTMLを開くとブラウザがスクリプトをデコードし、スクリプトは、ホストデバイス上でローカルにペイロードを組み立てることでファイアウォール、Webプロキシ、Eメールゲートウェイを回避します。

 

バンキングマルウェアや標的型攻撃で使用

この技術は、バンキングマルウェアMekotioのオペレーターであるDEV-0238、バンキングマルウェアOusabanのオペレーターであるDEV-0253によって、ブラジル、メキシコ、スペイン、ペルー、ポルトガルを狙った攻撃キャンペーンで使用されました。有害リンクは、ソーシャルエンジニアリングを使ったフィッシングメールに添付されて配信されました。また、この攻撃は脅威アクターのNOBELIUM、マルウェアAsyncRATやNJRATのオペレーターによる、巧妙かつ標的を絞った攻撃キャンペーンでも使用されました。

 

ランサムウェアと連携した事例も

2021年9月、 DEV-0193によるTrickbotを配信するEメール攻撃キャンペーンで、有害HTMLがビジネスレポートを装った添付ファイルとして使用されました。HTMLはパスワード保護されたJavaScriptを生成し、このJavaScriptは実行された際にTrickbotを呼び出していました。DEV-0193は、攻撃の最初の段階で主に医療、教育関連の組織を狙ったのち、Ryukのようなランサムウェアのオぺレーターに攻撃を引き継いでいました。

 

情報源:

https://www.microsoft.com/security/blog/2021/11/11/html-smuggling-surges-highly-evasive-loader-technique-increasingly-used-in-banking-malware-targeted-attacks/?_hsmi=182004500&_hsenc=p2ANqtz-8VQniz0m9YoLmBr6wXpP4MjXIZAnQAYeURVJUkBDst3frolEF-YeSGVWmJj-3zbLHsLpbu-rBoFWkZQA1Yx0z1j0dV4g

 

アナリストのコメント

影響範囲

主に金融セクターが標的となっていますが、すべてのデバイスが同程度の影響を受けます。

 

見解

幸いなことに、攻撃が成功するには、標的に有害URLをただクリックしてもらう以上の操作を行ってもらう必要があります。構築された有害ファイルはユーザーの手で実行される必要があり、実行してもらうために、正当なパスワード保護ファイルを装う偽のファイルを送って、有害な構築済みファイルからパスワードを見つけるよう指示する手法がよく見られます。

 

緩和戦略

この攻撃スタイルを緩和する最も手っ取り早い方法は、常に最新のインターネット・ハイジーン(衛生)をスタッフたちに知ってもらうことです。有害なURL・添付ファイルを開かなければ、この脅威は未然に防げます。

 

エンドポイント関連の緩和策として、以下のものが挙げられます。

 

✔️ダウンロードされた実行可能コンテンツをJavaScriptやVBScriptが立ち上げるのをブロックする

✔️難読化されている可能性のあるスクリプトの実行をブロックする

✔️prevalence、age、trusted listといった条件を満たさない実行ファイルの起動をブロックする

✔️.jsファイルと.jseファイルの関連づけを変更することで、JavaScriptコードの自動実行を防ぐ

 

さらに詳しい情報と推奨事項については、「情報源」の記事をご覧ください。