ニュース
EDRやセキュリティソフトの検出を回避する新手法「Mockingjay」とは?
Security Joesは新たなプロセスインジェクション技術「Mockingjay」を発見した。この技術はセキュリティソフトやEDRによる検出を回避できるとされており注意が必要だ。
セキュリティ企業のSecurity Joesは2023年6月28日(現地時間)、セキュリティソフトやEDR(Endpoint Detection and Response)による検出を回避する新たなプロセスインジェクション技術「Mockingjay」を発見したと報じた。
Mockingjayは少ないステップで実行でき、パーミッションRead-Write-Execute(RWX)を持つ正規のDLLによってリモートプロセスにコードを注入する。従来の手法よりも検出が難しく、その危険性が指摘されている。
EDRなどの検出を回避する「Mockingjay」をどう防げばいい?
Security JoesはMockingjayの概念実証(PoC)に、msys-2.0.dllを利用している。この手法はmsys-2.0.dllに限った話ではなく、該当する特徴を備えたDLLであれば悪用できるため注意が必要だ。実際にはより多くのDLLをこのサイバー攻撃に悪用できると見込まれている。
同社は、Mockingjayによる攻撃を発見するヒントとして以下の項目を挙げている。
- 不審なプロセスや一般的ではないプロセスから起動されているGNUユーティリティーが存在していないかどうかを調査する
- ssh.exeやその他のGNUユーティリティーといったプロセスから非標準ポートへのネットワーク接続を調査する
- Mockingjayを可能とする特性を備えたDLLのデータベースを維持し、正規のプロセス以外によるロードの試みを特定する
- DLLのソースやデジタル証明書、過去の動作、セクションの特性といった要素を考慮してDLLに信頼レベルを割り当てるレピュテーションベースシステムを採用する
Security Joesは高度な回避技術に対応するためには包括的な防御戦略を導入する必要があるとし、動的分析技術の採用や動作分析の活用、シグネチャベース検出、レピュテーションベースシステム、メモリ保護メカニズムの確立といったさまざまなセキュリティレイヤーで対策することの重要性を指摘している。
関連記事
- Microsoft、Windows 11にパスキーの管理機能を搭載
MicrosoftはWindows 11の開発版にパスキーの管理機能を追加した。これによってWindows 11に登録されたパスキーの一覧表示が可能になる。 - IBM SecurityとAWSが統合拡大 ハイブリッド/マルチクラウドのセキュリティ簡素化と強化を支援
IBM SecurityはAWSとの統合を拡大し、クラウドセキュリティの簡素化と強化を目指すと発表した。AWSビルトインソリューションの提供が予定されている。 - FortiNACにCVSSスコア9.6の脆弱性 迅速にアップデートを
Fortinetのネットワークアクセス制御ソリューション「FortiNAC」に深刻度「緊急」の脆弱性が見つかった。回避策などは提供されていないため、急ぎアップデートを適用してほしい。 - Trellixが脅威レポートを公開 2023年Q1は中国の脅威アクターが全世界で猛威を振るう
Trellixは2023年第1四半期のサイバーセキュリティ脅威レポートを公開した。サイバー脅威に関する洞察やセキュリティ対策のベストプラクティスがまとまっている。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.