コンテンツにスキップ
EDRSの迂回行為
最も単純な 2 つの回避方法は、EDR に対して驚くほど効果的です。
クレジット: ゲッティイメージズ / オーリッチ・ローソン
クレジット: ゲッティイメージズ / オーリッチ・ローソン
昨年、組織はエンドポイント検知・対応(EDR)を提供する製品に20億ドルを費やしました。これは、ネットワーク接続デバイスを標的とするマルウェアを検知・ブロックする比較的新しいタイプのセキュリティ保護です。一般的にEDRと呼ばれるこれらの製品は、マルウェア検出に対する新しいアプローチを表しています。静的解析は、2つのより伝統的な手法のうちの1つで、ファイル自体のDNAに疑わしい兆候がないか探します。もう1つのより確立された手法である動的解析は、信頼できないコードを安全な「サンドボックス」内で実行し、その動作を分析して安全性を確認した上で、システムへのフルアクセスを許可します。
2031年までに180億ドルの収益を生み出すと予測され、数十のセキュリティ企業によって販売されているEDRは、全く異なるアプローチを採用しています。コードの構造や実行を事前に分析するのではなく、EDRはマシンやネットワーク内で実行されるコードの動作を監視します。理論的には、過去15分間に数百台のマシンで実行されたプロセスが大量のファイルを暗号化していることを検出することで、進行中のランサムウェア攻撃を阻止できます。静的分析や動的分析とは異なり、EDRは機械学習を用いてマシンやネットワーク内の活動をリアルタイムで監視する警備員のようなものです。
クレジット: ノールとヒメネス
クレジット: ノールとヒメネス
EDR回避の合理化
EDRをめぐる騒ぎにもかかわらず、新たな調査によると、熟練したマルウェア開発者にとって、EDRが提供する保護機能を回避するのはそれほど難しくないことが示唆されています。実際、この調査を実施した研究者たちは、EDRの回避によって大規模組織ネットワークの典型的な感染において、開発期間がわずか1週間しか追加されないと推定しています。これは、2つの比較的基本的なバイパス手法、特に組み合わせることで、業界で利用可能なほとんどのEDRで機能するように見えるためです。
「EDRの回避は十分に文書化されていますが、科学というよりはむしろ技術です」と、ベルリンに拠点を置くSRLabsの主任科学者であるカーステン・ノール氏はメールで述べています。「新しいのは、複数の既知の手法を組み合わせることで、私たちがテストしたすべてのEDRを回避するマルウェアが生成されるという知見です。これにより、ハッカーはEDR回避の取り組みを合理化できます。」
悪意のあるアプリも無害なアプリも、OSカーネルとやり取りするためにコードライブラリを使用します。ライブラリはカーネルを直接呼び出します。EDRは、この通常の実行フローを中断することで機能します。ライブラリはカーネルを呼び出す代わりに、まずEDRを呼び出し、EDRはプログラムとその動作に関する情報を収集します。この実行フローを中断するために、EDRは「フック」と呼ばれる追加コードでライブラリの一部を上書きします。
ノール氏とSRLabsの研究者ホルヘ・ヒメネス氏は、シマンテック、SentinelOne、マイクロソフトが販売する広く普及している3つのEDRをテストしました。これらのサンプルは、市場全体のEDRを公平に代表するものだと考えています。研究者たちは驚いたことに、3つのEDRすべてが、2つの比較的単純な回避手法のいずれか、または両方を使用することで回避できることを発見しました。
これらの手法は、EDRが使用するフックを標的としています。最初の方法はフック関数を回避し、代わりにカーネルシステムコールを直接実行します。テストした3つのEDRすべてに対して成功しましたが、このフック回避は一部のEDRに疑念を抱かせる可能性があるため、万能ではありません。
クレジット: ノールとヒメネス
クレジット: ノールとヒメネス
2つ目の手法は、ダイナミックリンクライブラリファイルに実装された場合、3つのEDRすべてに対して有効でした。これは、フックされた関数の一部のみを使用することで、フックがトリガーされないようにするものです。そのために、マルウェアは間接的なシステムコールを実行します。(3つ目の手法である関数のアンフックは1つのEDRに対して有効でしたが、他の2つのテスト対象を欺くにはあまりにも疑わしいものでした。)
クレジット: ノールとヒメネス
クレジット: ノールとヒメネス
研究者たちは研究室で、一般的に使用されている2種類のマルウェア(Cobalt StrikeとSilver)を、それぞれのバイパス手法を用いて.exeファイルと.dllファイルの両方に詰め込んだ。EDRの1つ(研究者たちはどちらかを特定していない)は、これらのサンプルをいずれも検出できなかった。他の2つのEDRは、どちらの手法を用いても、.dllファイルから生成されたサンプルを検出できなかった。念のため、研究者たちは一般的なウイルス対策ソリューションもテストした。
クレジット: ノールとヒメネス
クレジット: ノールとヒメネス
研究者らは、大規模な企業や組織のネットワークをマルウェアで侵害するのに必要な標準的な時間は、4人の専門家チームで約8週間であると推定しました。EDR回避はプロセスを遅らせると考えられていますが、比較的単純な2つの手法でこの保護を確実に回避できることが明らかになったことで、マルウェア開発者は一部の人が考えるほど多くの追加作業を必要としない可能性があります。
「全体的に、レッドチーム演習の一般的な実行時間から判断すると、EDR は大企業に侵入する際のハッキング作業に約 12%、つまり 1 週間を追加している」と Nohl 氏は書いている。
研究者たちは先週、シンガポールで開催されたセキュリティカンファレンス「Hack in the Box」で研究結果を発表しました。ノール氏は、EDR開発者は、Cobalt Strikeのような最も一般的なハッキングツールの特定の動作のみを検知するのではなく、より汎用的な悪意のある動作の検知に重点を置くべきだと述べています。特定の動作への過度な重点化は、EDRの回避を「より特化したツールを使用するハッカーにとって非常に容易にする」とノール氏は記しています。
「エンドポイントにおけるより優れたEDRを補完するものとして、サンドボックス内での動的分析にも依然として可能性があると考えています」と彼は付け加えた。「これらはクラウド上で実行することも、メールゲートウェイやウェブプロキシに接続して実行することもでき、エンドポイントに到達する前にマルウェアをフィルタリングすることができます。」
リスト画像: Getty Images / Aurich Lawson
ダン・グッドインはArs Technicaのシニアセキュリティエディターとして、マルウェア、コンピュータースパイ、ボットネット、ハードウェアハッキング、暗号化、パスワードなどの記事を担当しています。余暇にはガーデニング、料理、インディーズ音楽シーンの追及を楽しんでいます。サンフランシスコを拠点としています。MastodonのこちらとBlueskyのこちらでフォローしてください。SignalのDanArs.82までご連絡ください。
72件のコメント
