Windowsシンボリックリンクを悪用した新手法 EDRの検知回避が狙いか:セキュリティニュースアラート
Windowsシンボリックリンクを悪用した新たな攻撃手法が見つかった。これによってEDRを無効化して検知を回避する狙いがあるものとみられる。この新手法の実行手順を解説する。
Zero Salariumは2025年1月18日(現地時間)、「Windows」のセキュリティを脅かす新たな攻撃手法を発見したと発表した。
この手法は、Bring Your Own Vulnerable Driver(BYOVD)の概念を拡張し、Windowsのシンボリックリンク機能を悪用することでEDR(Endpoint Detection and Response)製品による検知を回避できる可能性がある。
Windowsシンボリックリンクを悪用した新手法 EDRの検知回避が狙いか
BYOVDは攻撃者が脆弱(ぜいじゃく)性を持つドライバーをシステムに持ち込み、管理者権限を取得するための手法とされている。この攻撃により脅威アクターはセキュリティソフトを無効化したり、マルウェアを隠蔽(いんぺい)したりすることが可能となる。実際にランサムウェアグループ「BlackByte」がこの手法を悪用しており、セキュリティ対策の大きな課題となっている。
従来のBYOVD攻撃は脆弱なドライバーを特定し、それを利用する必要があった。しかし新たな攻撃手法ではWindowsのシンボリックリンクを活用し、ドライバーのファイル書き込み機能を利用することでEDRのユーザーモードサービスを破壊できるという。特定のドライバーの脆弱性に依存することなく、EDRの無効化が容易になることが明らかにされている。
発表された研究ではProcess Monitorのドライバー(PROCMON24)を悪用し、「Windows Defender」を無効化するPoC(概念実証)が公開されている。Process Monitorのブートログ機能を利用し、シンボリックリンクによってWindows Defenderの関連ファイルを変更することでセキュリティ機能の停止に成功したと報告されている。
具体的な手順は以下の通りだ。
- ZwWriteFile APIを呼び出し、I/Oコントロールコード(IOCTLs)を必要とせずにロード時にファイルを書き込む能力を持つEDRのミニフィルターを検索する
- これらのミニフィルターをリバースエンジニアリングまたはデバッグし、書き込み対象のファイルパスを特定する
- ミニフィルターのカーネルサービスを登録し、起動時にロードされるよう設定する
- ミニフィルターの出力ファイルからEDRサービスの実行ファイルへのシンボリックリンクを作成する
- Windowsを再起動し、EDRサービスの実行ファイルが破棄されたかどうかを確認する
この攻撃手法の問題点として正規のドライバーの機能を悪用するため、ブロックリストによる対策が困難であることが指摘されている。この手法による攻撃が増加し、今後より多くのドライバーが標的になる可能性がある。対策としてドライバー開発者に対してファイル操作時にシンボリックリンクの検査を実行し、不正な書き換えを防ぐことが求められている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
7-Zipに深刻な脆弱性 悪用でWindowsのセキュリティ機能「MoTW」を回避可能
7-Zipに深刻な脆弱性が見つかった。これを悪用すると、Windowsのセキュリティ機能「MoTW」(Mark-of-the-Web)を回避し、被害者のユーザーコンテキスト内で任意のコードを実行できるという。
「DNSよく分からん勢」に送る サブドメイン乗っ取り事案から考えるASMの本質
JPRSが「サブドメインの乗っ取り」に関する注意喚起を公開しました。これは非常に深刻な問題ですが、「DNS周辺はよく分からん」という人も多く、対策するには重い腰を上げなければならないのも事実。そんな人に向けてやるべきことをお伝えします。
Googleの認証システムに重大な欠陥 数百万のユーザーに影響する可能性
Googleの「Googleでログイン(Sign in with Google)」認証システムに重大な欠陥が見つかった。この欠陥を悪用すると、SlackやZoomなどのサービスに不正アクセスされる可能性がある。Google Workspaceユーザーは注意してほしい。
5ページだけでも読んで 無料でセキュリティの要点を学べる資料を紹介
世間には多くの役に立つセキュリティのドキュメントが公開されていますが、これらを読了するのは正直に言って骨が折れます。今回は筆者オススメの資料の中から“5ページ”だけに絞って、その魅力を紹介しようと思います。