CrowdStrike Blog:カーネル攻撃の検知と防御 | ScanNetSecurity
2023.02.08(水)

CrowdStrike Blog:カーネル攻撃の検知と防御

残念ながら、カーネルドライバの署名およびロードの仕様上、OS がこのような攻撃を防御することは困難です。つまり、エンドユーザー側の責任で強固なセキュリティ戦略とツールセットを駆使して、この種の攻撃を検知・防御しなければならないことを意味します。

脆弱性と脅威 脅威動向
CrowdStrike Blog:カーネル攻撃の検知と防御
CrowdStrike Blog:カーネル攻撃の検知と防御 全 3 枚 拡大写真

 どのようなサイバー攻撃でも事業運営に多大な影響を与える可能性があります。ただ、カーネル攻撃以上に高度な攻撃手法はないかもしれません。

 カーネル攻撃とは、カーネルや他のカーネルドライバに内在する OS のゼロデイ脆弱性を、パッチが適用された後でも悪用する攻撃です。典型的なカーネル攻撃では、攻撃者が既知の脆弱性のあるドライバをインストールしてロードし、システムにアクセスすると、権限を昇格させてシステムを改ざんします。多くの OS は、正規のベンダーが作成し署名したドライバしか受け付けません。サイバー犯罪者らは、正規のベンダーが作成したドライバのうち脆弱性を含むものを悪用します。

 彼らはそのような脆弱なドライバを利用してカーネルにアクセスすると、たとえばセキュリティ機能の削除や無効化のように、さまざまなアクションを実行できるようになります。このようなドライバは正規の署名を得ており、証明書は簡単に取り消しできないため、パッチ未適用のドライバが検知/ブロックされることなく、数年間も野放し状態で不正利用されることがあります。

 以前は、カーネル攻撃は非常に巧妙で、比較的まれにしか発生していませんでしたが、一般的になりつつあります。このような攻撃に悪用された顕著な例として、2020 年末に Google のセキュリティ調査チーム「Project Zero」が報告したマイクロソフトの暗号化ドライバ(cng.sys)内の新しいゼロデイ脆弱性が挙げられます。

 この脆弱性は、ドライバ内部の特定の入出力制御(IOCTL)パス内に生じるもので、ユーザーモードのアプリケーションによる悪用を容易に許してしまいます。Google は、この脆弱性を報告するとともに、Chrome のセキュリティサンドボックスをすり抜け、さらなる攻撃を進めるためにこのコードが積極的に悪用されていることを公表しました。詳細については、Google の Project Zeroチームによる Windowsカーネルの脆弱性に関する報告を参照してください。

●解決策

 残念ながら、カーネルドライバの署名およびロードの仕様上、OS がこのような攻撃を防御することは困難です。つまり、エンドユーザー側の責任で強固なセキュリティ戦略とツールセットを駆使して、この種の攻撃を検知・防御しなければならないことを意味します。

 CrowdStrike Falcon Sensor(リリース5.41以降)では、脆弱なドライバと悪質なドライバの両方を検知してロードを阻止し、それらのドライバを介して晒される脆弱な IOCTL を保護します。このような機能がすべてクラウドで制御できるのが重要なポイントです。製品のバージョンが 5.41以降であれば、物理的なセンサーをアップグレードする必要なく、同じレベルのセキュリティを維持することができます。

 たとえば、2019 年に発生した、RobbinHood として知られるグループによる有名なランサムウェア攻撃では、正規のハードウェアドライバを介して、ソフトウェアの既知の脆弱性「CVE-2018-19320」が悪用されました。このアクセスポイントを利用して、カーネルメモリの設定を改ざんし、サイバーセキュリティ機能を無効にしていました。この攻撃は、ボルチモア市などの複数の有名な組織を標的としており、専門家は、すべての被害組織を合わせた身代金の総額は数百万ドルにのぼると試算しています。 RobbinHood による攻撃の詳細については、こちらを参照してください

図1:RobbinHoodランサムウェアが関与するドライバをブロックするプロセス

●Falcon Sensor上で機能を有効化する

 脆弱なデバイスドライバとのユーザーモードでの(IOCTL経由の)交信を検知する機能は、Falcon の防御ポリシーで Additional User-Mode Data(AUMD)を有効にする必要があります。Falcon Sensor がこれらの脆弱なデバイスドライバの悪用を阻止できるようにするには、Falcon の防御ポリシーで[Malware Protection]→[Execution Blocking]の順に選択し、[Suspicious Processes](不審なプロセス)のトグルをオンにします。

●悪質なドライバをブロックする

 CrowdStrike が悪質であると判断したドライバは、Falcon の防御ポリシーで[Malware Protection]→[Execution Blocking]の順に選択し、[Suspicious Kernel Drivers](不審なカーネルドライバ)トグルをオンにすることで、Windows 10/Server 2016 での読み込みをブロックできます。

図2:ポリシーのSuspicious Kernel Driversトグルをオンにして不審なカーネルドライバを防御する

●最後に:カーネル攻撃から保護する

 全ての組織が、カーネル攻撃を防ぐために必要な手順を踏むことが大切です。このような攻撃を防御するためにどのような対策が取られているか、また利用可能なソリューションがあるかを御社のサイバーセキュリティパートナーにぜひお問い合わせください。あるいはクラウドストライクにご連絡いただければ、相談やデモの紹介などご要望にお答えいたします。

参考文書:
https://www.theregister.com/2020/10/30/windows_kernel_zeroday/
https://bugs.chromium.org/p/project-zero/issues/detail?id=2104
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2020-17087
https://www.crowdstrike.com/blog/tech-center/kernel-exploit-prevention/

●その他のリソース
ランサムウェアの進化に関するホワイトペーパーをご一読ください。
CrowdStrike Falconプラットフォームについての説明をご覧いただけます。
・CrowdStrike の EDR に関する詳細については、Falcon Insight の Webページで紹介しています。
・CrowdStrike の次世代型AV をお試しください。Falcon Prevent の無料トライアル

*原文は CrowdStrike Blog サイト掲載 :
https://www.crowdstrike.com/blog/how-to-detect-and-prevent-kernel-attacks-with-crowdstrike/

《Blair Foster エンジニアリング&テクノロジー (CrowdStrike)》

この記事の写真

/

特集

関連記事

PageTop

アクセスランキング

  1. 東証プライム従業員が顧客情報持ち出し第三者に漏えい、ウォーターサーバー勧誘等に悪用される

    東証プライム従業員が顧客情報持ち出し第三者に漏えい、ウォーターサーバー勧誘等に悪用される

  2. [実はたいして儲からない]サイバー犯罪者さん 職種別給与一覧 ~ 求人広告22万件調査

    [実はたいして儲からない]サイバー犯罪者さん 職種別給与一覧 ~ 求人広告22万件調査

  3. ESXiを標的としたランサムウェア攻撃、2日間で3,195台の被害を確認

    ESXiを標的としたランサムウェア攻撃、2日間で3,195台の被害を確認

  4. 役割やレベルに合わせ4コース「セキュリティインシデントレスポンス教育」

    役割やレベルに合わせ4コース「セキュリティインシデントレスポンス教育」

  5. 脱PPAPのリリーフエース、国産セキュリティ企業 パスロジ「クリプタン」が両立した高いセキュリティと抜群の利便性

    脱PPAPのリリーフエース、国産セキュリティ企業 パスロジ「クリプタン」が両立した高いセキュリティと抜群の利便性PR

ランキングをもっと見る
PageTop