Windowsシンボリックリンクを悪用した新手法 EDRの検知回避が狙いか：セキュリティニュースアラート

Windowsシンボリックリンクを悪用した新たな攻撃手法が見つかった。これによってEDRを無効化して検知を回避する狙いがあるものとみられる。この新手法の実行手順を解説する。

[後藤大地，有限会社オングス]

　Zero Salariumは2025年1月18日（現地時間）、「Windows」のセキュリティを脅かす新たな攻撃手法を発見したと発表した。

　この手法は、Bring Your Own Vulnerable Driver（BYOVD）の概念を拡張し、Windowsのシンボリックリンク機能を悪用することでEDR（Endpoint Detection and Response）製品による検知を回避できる可能性がある。

Windowsシンボリックリンクを悪用した新手法　EDRの検知回避が狙いか

　BYOVDは攻撃者が脆弱（ぜいじゃく）性を持つドライバーをシステムに持ち込み、管理者権限を取得するための手法とされている。この攻撃により脅威アクターはセキュリティソフトを無効化したり、マルウェアを隠蔽（いんぺい）したりすることが可能となる。実際にランサムウェアグループ「BlackByte」がこの手法を悪用しており、セキュリティ対策の大きな課題となっている。

　従来のBYOVD攻撃は脆弱なドライバーを特定し、それを利用する必要があった。しかし新たな攻撃手法ではWindowsのシンボリックリンクを活用し、ドライバーのファイル書き込み機能を利用することでEDRのユーザーモードサービスを破壊できるという。特定のドライバーの脆弱性に依存することなく、EDRの無効化が容易になることが明らかにされている。

　発表された研究ではProcess Monitorのドライバー（PROCMON24）を悪用し、「Windows Defender」を無効化するPoC（概念実証）が公開されている。Process Monitorのブートログ機能を利用し、シンボリックリンクによってWindows Defenderの関連ファイルを変更することでセキュリティ機能の停止に成功したと報告されている。

　具体的な手順は以下の通りだ。

1. ZwWriteFile APIを呼び出し、I／Oコントロールコード（IOCTLs）を必要とせずにロード時にファイルを書き込む能力を持つEDRのミニフィルターを検索する
2. これらのミニフィルターをリバースエンジニアリングまたはデバッグし、書き込み対象のファイルパスを特定する
3. ミニフィルターのカーネルサービスを登録し、起動時にロードされるよう設定する
4. ミニフィルターの出力ファイルからEDRサービスの実行ファイルへのシンボリックリンクを作成する
5. Windowsを再起動し、EDRサービスの実行ファイルが破棄されたかどうかを確認する

　この攻撃手法の問題点として正規のドライバーの機能を悪用するため、ブロックリストによる対策が困難であることが指摘されている。この手法による攻撃が増加し、今後より多くのドライバーが標的になる可能性がある。対策としてドライバー開発者に対してファイル操作時にシンボリックリンクの検査を実行し、不正な書き換えを防ぐことが求められている。