Windows Defenderの武器利用:新たなEDRバイパス手法を研究者が解説 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > Windows Defenderの武器利用:新たなEDRバイパス手法を研究者が解説

Threat Report

EDR

Krueger

Microsoft

Windows Defenderの武器利用:新たなEDRバイパス手法を研究者が解説

佐々山 Tacos

佐々山 Tacos

2024.12.26

Windows Defenderの武器利用:新たなEDRバイパス手法を研究者が解説

Securityonline[.]info –  December 24, 2024

Windows Defenderのアプリケーション制御機能であるWDAC(Windows Defender アプリケーションコントロール)を使った新たな攻撃戦術について、研究者のJonathan Beierle氏とLogan Goins氏が解説。WDACは本来Windowsエンドポイントを保護するための優れたツールだが、テレメトリソースをブロックしたりEDRシステムを無効化したりするための攻撃ツールとしても悪用が可能だという。

WDACは、大まかに言うと設定されたポリシーを基にシステム上で実行可能なコードを制御し、承認されていないアプリケーションが実行されるのを防ぐ機能。これによりシステムを有害なアプリケーションなどから保護するというものだが、Beierle氏とGoins氏が発見した新たな攻撃手法は、このポリシーを悪意ある内容にするというもの。例えばEDRソフトウェアの起動を妨げるようなポリシーを適用することができれば、WDACによってEDRが無効化されることになる。

もう少し具体的に言うと、今回明かされた手法は大きく以下の3フェーズで構成されているという。

  • ポリシーのデプロイ:細工されたWDAC用ポリシーをディレクトリ「C:\Windows\System32\CodeIntegrity」に配備。
  • システムのリブート:リブートによりこの悪意あるポリシーが発動し、EDRドライバ/アプリケーションの起動がブロックされる。
  • 環境のエクスプロイト:EDRが無効化されたことで、攻撃者は自由に追加のツールを実行したり、ネットワーク内でラテラルムーブメントを行ったりすることができる。

今回の調査において、上記のプロセスはGoins氏によって開発されたツール「Krueger」を使って行われた。Kruegerは.NETベースのポストエクスプロイト用PoCで、EDRをリモートで無効化するためのものだという。同ツールは、有害なWDACポリシーを作成する性能、CodeIntegrityディレクトリへ当該ポリシーを直接デプロイする性能、またシステムのリブートを開始させる性能を持つ。

なお、もしも攻撃者がActive Directoryドメインへの管理者アクセス権限を有している場合は、有害なポリシーをGPO(Group Policy Object)で配布することが可能になるため、管理下にあるすべてのエンドポイントでセキュリティ防御策が無効になるなどの、より深刻な影響が想定されるという。

この攻撃は比較的短時間で実行され得るなどの理由から、検出は困難だとされる。両研究者は、堅牢なWDACポリシーをGPO経由で適用すること、また最小権限の原則に従ってCodeIntegrityフォルダやSMBシェア、およびグループポリシー変更に関する権限を制限することの2点を、リスク緩和策として紹介している。

【無料配布中!】ランサムウェアレポート&インテリジェンス要件定義ガイド

ランサムウェアレポート:『2024 Ransomware? What Ransomware?』

以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート2024 Ransomware? What Ransomware?の日本語訳バージョンを無料でダウンロードいただけます。

<レポートの主なトピック>

  • 主なプレーヤーと被害組織
  • データリークと被害者による身代金支払い
  • ハクティビストからランサムウェアアクターへ
  • 暗号化せずにデータを盗むアクターが増加
  • 初期アクセス獲得に脆弱性を悪用する事例が増加
  • 公に報告された情報、および被害者による情報開示のタイムライン
  • ランサムウェアのリークサイト – ダークウェブ上での犯行声明
  • 被害者による情報開示で使われる表現
  • ランサムウェアに対する法的措置が世界中で増加
  • サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
  • 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠

インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』

以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック要件主導型インテリジェンスプログラムの構築方法の日本語訳バージョンを無料でダウンロードいただけます。

<ガイドブックの主なトピック>

本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。

  • 脅威プロファイルの確立
  • ステークホルダーの特定・分析
  • ユースケースの確立
  • 要件の定義と管理
  • データの収集と処理
  • 分析と生産
  • 報告
  • フィードバック
  • 実効性の評価

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ