EDR(Endpoint Detection and Response)は今日のサイバーセキュリティの核となっているテクノロジーですが、脅威インテリジェンスやサイバーセキュリティの専門家たちはEDRを回避する新たな攻撃やテクノロジーの出現に関心を寄せているようです。
狙われる仮想マシンやネットワークアプライアンス
サイバーセキュリティ企業のマンディアントは最近のブログで、国家の支援を受けているサイバー攻撃グループがEDRによってサポートされていないシステム、具体的にはネットワークアプライアンスやSANアレイ、VMware ESXiホストを挙げていますが、そうしたシステムをターゲットにしたマルウェアの開発と展開にシフトしていると明らかにしています。
マンディアントのこのブログは、マンディアントが中国のサイバースパイグループとして追跡しているUNC3886について記述しているものです。マンディアントによるとUNC3886はVMware ESXiホスト、vCenterサーバー、Windows仮想マシン(VM)に影響を与えるサイバースパイグループで、過去1年間のリサーチの結果、このグループがEDRソリューションの監視対象から逃れるために行っている複数のテクニックを発見したということです。その詳細についてはマンディアントのブログを読んでいただきたいのですが、UNC3886がEDRを回避するテクニックを開発していることは、このグループがESXi、vCenter、VMwareの仮想化プラットフォームに対して深い理解と技術的知識を有していることを強く示しているとマンディアントは言っており、こうした仮想化システムが今後のサイバー攻撃の主戦場になることを示唆しているようにも思います。
Windows APIを実行しないステルス攻撃
一方、イスラエルを拠点とするサイバーセキュリティ企業のSecurity Joesは、既存のセキュリティ制御を回避する可能性のある手法を継続的に特定する取り組みをしているということで、最近、EDRやXDRを欺くためのプロセスインジェクションに焦点を当てたレポートを発表しました。プロセスインジェクションはWindowsOSで実行中のプログラムに悪意のあるコードを挿入する手法で、正当なプロセスによって実行されるためステルス性が高い攻撃手法として知られています。しかし、EDRにおいては、起動されたすべてのプロセスのメモリ領域内でWindows APIにフックを設定し、そうすることでパラメーターをインターセプトしてキャッチし、EDRがWindows APIに関連する悪意あるアクションを識別できるようにしているということです。
そこでSecurity Joesの研究者は、Windows APIに依存せずにプロセスのメモリ領域内でコードを実行する方法について検証し、その結果、特定のWindowsライブラリを悪用することで様々なプロセスにコードを挿入することができることを発見したということです。この手法ではセキュリティソリューションによって監視されているWindows APIを実行する必要がないため、検出される可能性は低くなるとSecurity Joesのレポートは記しています。Security Joesはこの手法についてMockingjayと名付け、新しいプロセスインジェクションの手法であるMockingjayを使うとEDRが導入されているシステムにおいても検出されることなくWindowsプロセスにコードを正常に挿入できることを実証したということです。
Security Joesのレポートは「攻撃者はこの手法を利用してEDRまたはウィルス対策ソフトウェアによる検出を回避する可能性があります」と記し、そのうえでMockingjayの発見について「高度な回避技術に対抗するための包括的な防御戦略を実装することが極めて重要であることを示している」とし、「既知の悪意あるパターンに対してシグネチャベースの検出を利用し、疑わしいファイルやアクティビティにフラグを立てるレピュテーションベースのシステムを実装する必要がある」と結論付けています。
■出典
https://www.mandiant.jp/resources/blog/vmware-esxi-zero-day-bypass