Minerva (ミネルバ)

マルウェア検知回避手法―自給自足型マルウェア について  2022年3月14日 Minervaのブログから

今回のブログはマルウェア開発者がセキュリティ製品から検知回避するテクニックについて、お話ししたいと思います。前回はサンドボックス検知回避についての詳細をお話致しました。

 

サンドボックス検知回避のブログでは、昨今のマルウェアはターゲットのネットワークへ侵入後、直ちに攻撃を仕掛けてデータを破壊したりなどはせず、セキュリティツールなどに検知されないように幾つもの回避手法で攻撃の足掛かりを築いていきます。

 

さて今回のブログでは自給自足型(LotL)攻撃の検知回避についてお話ししたいと思います。

自給自足型(LotL)とは?

自給自足型(LotL)攻撃はOSに装備されているビルトインシステム、ライブラリー、ツールなどネイティブツール利用して検知を回避する手法の一つです。OSに内蔵している機能やツールは元々正当である故に、悪用されて稼働されているとしてもセキュリティ製品の分析ツールでは特に問題なしと判定してしまうでしょう。

 

これらの正当なツールを利用して仕掛ける攻撃を自給自足型と言われていて、LOLbinaries又はLOLbinと呼称されています。LOLbinsで最も悪用されるツールを幾つか挙げますとPowershell, rundll.exe, regsvr32.exe, certutil.exe, wmin.exe, schtasks.exeなどです。

 

よってマルウェアがLOLbinsを悪用して仮想環境又はサンドボックス環境に見せかけたり、水平攻撃や悪意のあるアーティファクトをダウンロードしたり、データ窃取や更なるエスカレーション攻撃へ展開しても問題のないOSオペレーションとして認識されてしまいアラートが発せられません。

 

LotLは許可リスト、ホワイトリストなどのアプリケーションについても攻撃目的で利用します。LotL特性のマルウェアはデジタル署名などのソフトウエアなどが信頼されていないなど勝手に許可リストなどをコントロールすることが可能です。

 

それでは次にLOLbinsがどのように悪意のあるプロセスを実行し、検知されるのを回避するのかいくつかの例を見ていきましょう。

WMIを悪用して検知回避

WMIはWindows Management Instrumentation の略式ですが、この機能はWindowsを一括統括する機能を持ち合わせており、最近のバージョンではプリインストールされています。OSのセキュリティ設定、システム特性の設定、スケジュールタスクプロセスなど多くのマネージメント機能を管理する重要なツールです。マルウェアはこの機能を悪用することにより、甚大なダメージを与える可能性を占めています。

 

WMIはラニングプロセス、レジストリーキー、インストールサービスなどWMIのマネージメントに属する重要な機能があります。どれだけクリティカルなのか例を挙げますと、マルウェアはroot\SecurityCenter2 namespaceへクエリーを発信することにより、Windows Security Centerからどのアンチウィルスやセキュリティツールがインストール済なのか認識することが可能になります。

 

WMIはroot\cimv2 namespaceへクエリーを発信することにより、VirtualBox又はVMwareなどの仮想環境の存在を見極めることができます。前回サンドボックスの検知回避に関するブログで説明しましたが、マルウェアがセキュリティツール及びサンドボックスの有無を見極めることが可能になると、マルウェアは検知回避するためにずっと沈黙を固持します。

Regsvr32を利用して検知回避を免れる

他に悪用される正当なツールとしてはregsvr32.exeがあります。これはデジタル署名のWindowsのユーティリティでDllやActive X制御などで登録や非登録を行う際に使用される機能です。ファイルの実行時又はregsvr32経由でモジュールがロードされる場合でも、許可リストツール/既存セキュリティ製品をスルーしてしまうのです。

 

ある特定の攻撃としてSquiblydooマルウェア(数種類のマルウェアにも組込み採用されている)というのがあり、検知回避テクニックとして他のマルウェアとは異なります。この攻撃はリモートサーバーでホストされたスクリプトをロード及びランニングするregsrv32の機能能力を利用します。スクリプトがリモートでホストされているので、この攻撃は実用的なファイルレス攻撃でステルス性を備えています。

Minervaは自給自足型(LotL)攻撃を先制防御

自給自足型攻撃は正当なネイティブツールを利用して、検知回避をしながら攻撃の脅威を拡散していきます。Minervaはこのような攻撃を防御するモジュールを備えており(特許取得済)、回避手法を阻止することで自給自足型攻撃を無力化しますので、正当なツールを踏み台にして攻撃をされることはありません。

Minerva製品(Minerva Armor)についてのお問い合わせはPico Technologies (info@pico-t.co.jp)までお願い致します。

HOME