一般的に、機関や企業のなどの組織では、セキュリティの脅威を防ぐために様々なセキュリティ製品を使用している。エンドポイントを基準にしても、AntiVirus だけでなく、ファイアウォール、APT 防御ソリューション、そして EDR などの製品が存在する。セキュリティを担う組織が別に存在する環境でない、一般ユーザーの環境でも、ほとんどに基本的なセキュリティ製品がインストールされていることが多い。例えば、最新の Windows OS 環境では、ユーザが追加でインストールせずとも、すでに Microsoft Defender などの AntiVirus がインストールされている環境が大半である。
そのため、攻撃者は初期侵入の後にインストールされているセキュリティ製品の無効化を試みる傾向が強い。これは APT 攻撃者だけでなく、不適切に管理されているシステムを対象とした攻撃、例えば、RDP サービスおよび DB サーバーを対象に攻撃するランサムウェア攻撃者も同様である。
もちろん、攻撃者の立場で最も単純な方式は、インストールされているセキュリティ製品を削除することだが、削除するプロセスでパスワードを要求したり、削除ができないように管理されている場合には、単純に削除することが不可能である。そのため、攻撃者は様々なツールを利用してセキュリティ製品の無効化を試みる。問題は、このような過程で使用されるツールがマルウェアではなく、実際に正常な目的でも使用できるツールが多いという点である。
例えば、攻撃者は Process Hacker や GMER のなどのツールを使用してセキュリティ製品を無効化することが多い。このようなツールは、正常な目的でもよく使われるツールであるため、AntiVirus で検知し遮断することが不可能である。
AhnLab EDR(Endpoint Detection and Reponse)は、韓国国内唯一の振る舞いベースの解析エンジンに基づき、エンドポイント領域に対して強力な脅威モニタリングと分析、対応力を提供する次世代エンドポイント脅威検知および対応ソリューションである。AhnLab EDR は疑わしい振る舞いに関するタイプ別の情報を常時収集し、検知および解析、対応の観点から、ユーザーが脅威を正確に認識できる機能を提供し、これによって総合的な解析を通じた原因把握と適切な対応、再発防止プロセスを確立できる。
ここでは、攻撃プロセスの内、防御回避段階で管理者がこれを事前に認知し、原因の把握と適切な対応を行うために、攻撃者がセキュリティ製品を無効化する手法を AhnLab EDR を活用して検知できる事例を紹介する。
1. Defender Control
Defender Control は、Microsoft Defender を無効化する機能を提供するツールである。一般ユーザーが Microsoft Defender を使用しないようにするために意図的にインストールする事例が多いが、目的自体が特定の製品を無効化することであるため、AntiVirus によって検知および遮断されることもある。Defender Control は、多くの攻撃で使用されており、過去の Lockis ランサムウェアや [1] Mimic ランサムウェア攻撃事例 [2] など、ASEC ブログでも紹介したことがある。
AhnLab EDR は、Defender Control を利用して Microsoft Defender を無効化する振る舞いに対し、以下のように脅威として検知することで、管理者がこれを事前に認知できるようにサポートする。
図2. Defender Control 実行振る舞いに対する検知ログ
2. HRSword
HRSword は、Beijing Huorong Network Technology 社が開発したもので、プロセス、ファイル、レジストリ、ネットワークなどのシステムをモニタリングしてシステムを診断することに使用できるツールである。しかし、サポートする機能の中に特定のプロセスを強制的に終了させる機能がある。そのため、Masscan ランサムウェアの攻撃者や [3](外部サイト、韓国語にて提供) CAMARO DRAGON APT グループ [4](外部サイト、英語にて提供) など、様々な攻撃者によって使用されている。
AhnLab EDR は、攻撃者がセキュリティ製品を無効化するために Huorong の Hrsword をインストールする振る舞いに対し、以下のように脅威として検知することで、管理者がこれを事前に認知できるようにサポートする。
図4. HRSword 実行振る舞いに対する検知ログ3. Process Hacker
Process Hacker は、Process Explorer と同様に、現在実行中のプロセスのリストを表示し、関連情報の照会およびプロセス制御のような様々な機能を提供する。多くのユーザーが Process Hacker を使用しているだけに、セキュリティ製品を無効化する目的で悪用される攻撃事例も多い。
例えば、過去に Okta 社をハッキングした Lapsus$ 攻撃者がこれを使用した事例が公開され [5](外部サイト、英語にて提供)、その他にも Lockbit ランサムウェア [6](外部サイト、英語にて提供)、Phobosランサムウェア [7](外部サイト、英語にて提供) など、様々な攻撃者がこれを活用している。また、過去の ASEC ブログでも、Hakuna matata ランサムウェア [8] 攻撃者が Process Hacker を多様なツールと共にインストールした事例を公開したことがある。
AhnLab EDR は、攻撃者が Process Hacker を実行する振る舞いに対し、以下のように主な振る舞いとして検知することで、管理者が原因の把握と適切な対応、再発防止プロセスを樹立できるようにサポートする。
図6. Process Hacker の実行振る舞いに対する検知ログ
4. GMER
GMER は、隠蔽されたプロセス、サービス、ファイル、レジストリ、ドライバーを探す Anti Rootkit ツールである。これらのツールの特性上、疑わしいプロセスを強制的に終了したり、ファイルを強制的に削除するなどの機能をサポートするため、高い権限で動作する。そのため、Lockbit [9](外部サイト、英語にて提供)、Royal [10](外部サイト、英語にて提供)、Ryuk ランサムウェア [11](外部サイト、英語にて提供) など、様々な攻撃者がセキュリティ製品を無効化する目的で GMER ツールを悪用している。
AhnLab EDR は、攻撃者が GMER を実行する振る舞いに対し、以下のように主な振る舞いとして検知することで、管理者が原因の把握と適切な対応、再発防止プロセスを樹立できるようにサポートする。
図8. GMER ツールの実行振る舞いに対する検知ログ
5. 結論
攻撃者た、マルウェアおよび疑わしい振る舞いを検知するセキュリティ製品を回避するため、HRSword、Process Hacker、GMER などのツールを悪用している。このようなツールは、一般ユーザーが正常な目的で使用することもできるツールであるため、AntiVirus 単独でこれを検知し、遮断することには限界がある。
AhnLab EDR は、防御回避段階で使用されるツールを脅威および主な振る舞いとして検知し、管理者がこれを事前に認知できるようにサポートする。管理者はこれにより原因の把握と適切な対応を実行することができ、ランサムウェア攻撃に晒された後も攻撃対象となったシステムから攻撃者の証跡資料として侵害事例の調査に必要なデータを確認することができる。
振る舞い検知
– DefenseEvasion/EDR.dControl.M11216
– Execution/EDR.HRSword.M11640
– Execution/DETECT.ProcHacker.M11647
– Execution/EDR.GMER.M11645
振る舞い情報検知および解析を通じたエンドポイント可視性を提供し、脅威を能動的に追跡する AhnLab EDR についての詳しい情報は AhnLab の公式 HP で確認できる。
Categories: AhnLab 検知