EDRやセキュリティソフトの検出を回避する新手法「Mockingjay」とは？

Security Joesは新たなプロセスインジェクション技術「Mockingjay」を発見した。この技術はセキュリティソフトやEDRによる検出を回避できるとされており注意が必要だ。

[後藤大地，有限会社オングス]

　セキュリティ企業のSecurity Joesは2023年6月28日（現地時間）、セキュリティソフトやEDR（Endpoint Detection and Response）による検出を回避する新たなプロセスインジェクション技術「Mockingjay」を発見したと報じた。

　Mockingjayは少ないステップで実行でき、パーミッションRead-Write-Execute（RWX）を持つ正規のDLLによってリモートプロセスにコードを注入する。従来の手法よりも検出が難しく、その危険性が指摘されている。

Mockingjayを使えば、セキュリティソフトやEDRによる検出を回避できる（出典：Security JoesのWebサイト）

EDRなどの検出を回避する「Mockingjay」をどう防げばいい？

　Security JoesはMockingjayの概念実証（PoC）に、msys-2.0.dllを利用している。この手法はmsys-2.0.dllに限った話ではなく、該当する特徴を備えたDLLであれば悪用できるため注意が必要だ。実際にはより多くのDLLをこのサイバー攻撃に悪用できると見込まれている。

　同社は、Mockingjayによる攻撃を発見するヒントとして以下の項目を挙げている。

• 不審なプロセスや一般的ではないプロセスから起動されているGNUユーティリティーが存在していないかどうかを調査する
• ssh.exeやその他のGNUユーティリティーといったプロセスから非標準ポートへのネットワーク接続を調査する
• Mockingjayを可能とする特性を備えたDLLのデータベースを維持し、正規のプロセス以外によるロードの試みを特定する
• DLLのソースやデジタル証明書、過去の動作、セクションの特性といった要素を考慮してDLLに信頼レベルを割り当てるレピュテーションベースシステムを採用する

　Security Joesは高度な回避技術に対応するためには包括的な防御戦略を導入する必要があるとし、動的分析技術の採用や動作分析の活用、シグネチャベース検出、レピュテーションベースシステム、メモリ保護メカニズムの確立といったさまざまなセキュリティレイヤーで対策することの重要性を指摘している。