Cisco Japan Blog
Share
tweet

Cisco Japan Blog > セキュリティ

セキュリティ

ファイルレス攻撃を阻止するエクスプロイト防止機能の概要


2018年1月25日

John Dominguezこの記事は、AMP 担当プロダクト マーケティング マネージャーである KJohn Dominguez によるブログ「Introducing Exploit Prevention to Stop File-Less Attackspopup_icon(2018/1/3)の抄訳です。

 

戦争において、優れた軍事戦略家は必ず敵の弱点を突いて攻撃しようとします。サイバー犯罪者も同様で、ソフトウェアやオペレーティング システムのプロセスの脆弱性など、システムの弱点を悪用することで、エンドポイントと機密データにアクセスしようとしています。しかし、サイバーセキュリティ技術が発達し、悪意のあるファイル(マルウェア)の検出とブロッキングが容易になるにつれて、悪意のあるファイルを使用した従来のファイルベースの攻撃では、以前のような成果が得られないことが明らかになってきました。その結果、「ファイルレス」攻撃の手法、すなわち実際のマルウェア ファイルを使用しない攻撃が多用されるようになっています。こうした攻撃は一般に、「非マルウェア」攻撃、または「メモリベース」の攻撃とも呼ばれます。最近発生した Equifax 社と米民主党全国委員会(DNC)におけるハッキング被害は、いずれもファイルレス攻撃の例として注目を集めています。

ファイルレス攻撃とは、具体的にどのようなものでしょうか。簡単に言えば、攻撃者がシステムでの足掛かりを得るために、ユーザが日常的に使用するネイティブ アプリケーションの脆弱性を悪用する手法です。ユーザに悪意のあるファイルをダウンロードさせてから実行し、データを盗み出すのではなく、アプリケーションの脆弱性を悪用して、ある種の命令を送ります。信頼されているアプリケーションに種をまくようにする(悪意のあるコードをメモリに注入する)のです。その後、このアプリケーションが悪意のあるコマンドを実行し、他のアプリケーションやプロセスへのドアを開けて、目的(機密データの窃取、システムの身代金の要求など)を達成します。

こうした攻撃は、一般的に次のように行われます。

  1. ユーザが、信頼できる送信元から送られたと考える(実際はそうではない)メール内のリンクをクリックする
  2. 正規版に見える(実際はそうではない)Web サイトに誘導される
  3. Web サイトが Flash を読み込む(Flash は脆弱性の典型)
  4. Flash が PowerShell(コマンドライン インターフェイスを介してコマンドを発行できる、Windows オペレーティング システム上のツール)を開く(基本的には、すべてメモリ内で通信を行い、命令を送ることが可能)
  5. PowerShell が攻撃者のコマンド アンド コントロール サーバに接続する(このサーバで悪意のあるスクリプトをダウンロードおよび実行し、データを検索して発見したものを攻撃者に送信する)

それでは、どのようにすればこうしたファイルレス攻撃を阻止できるでしょうか。まず必要となるのが、ソフトウェアとオペレーティング システムにパッチを適用し、更新することです。ファイルレス攻撃のエントリ ポイントは、お客様が持つ脆弱性です。脆弱性を解消すれば、このタイプの攻撃は防ぐことができるのです。とはいえ、ユーザが常に注意を怠らずにシステムを更新し、禁じられたリンクをクリックしないことを期待できるとは限りません。そこで、Cisco AMP for Endpoints では、パッチが適用されていないソフトウェアの脆弱性を狙ってメモリ インジェクションを行うファイルレス攻撃からエンドポイントを防御する、「エクスプロイト防止」機能を導入しました。次のような攻撃が対象となります。

  • Web を介した攻撃(シェルコードを使用してペイロードを実行する Java エクスプロイトなど)
  • Adobe または Office の悪意のあるドキュメント ファイル
  • Flash、Silverlight、または JavaScript 攻撃を含む悪意のあるサイト
  • ファイルを利用しない、非永続的なマルウェアによる脆弱性の悪用
  • まだパッチが提供されていないソフトウェアの脆弱性に対するゼロデイ攻撃
  • ランサムウェア、トロイの木馬、またはインメモリ技術を使用したマクロ

エクスプロイト防止機能の仕組みは次のとおりです。まず、攻撃に利用される恐れのある、エンドポイントで実行中の共通アプリケーションを特定します。次に、それらのアプリケーションのおとりを作成します。これにより、アプリケーションの脆弱性を突いて攻撃しようとしても、おとりによって阻止されることになります。専門用語で説明すると、エクスプロイト防止機能が攻撃に利用される恐れのあるアプリケーションを特定し、ライブラリおよび DLL の入口と出口を再マップしたら、アプリケーションが実行されるたびに無作為に選ばれた場所に移動させます。次に、リソースへのアクセスやエクスプロイトを試みるあらゆるプロセス(悪意のあるコードなど)に、これらのリソースのおとりを差し出します。マルウェアは本物のアプリケーションを見つけることができず、代わりにおとりを標的としますが、AMP がその攻撃を記録してブロックします。その間、本物のアプリケーションは安全に保たれ、攻撃は阻止されます。

Cisco AMP for Endpoints では、次のような一般的なプロセスが保護されます。

  • Microsoft Excel アプリケーション
  • Microsoft Word アプリケーション
  • Microsoft PowerPoint アプリケーション
  • Microsoft Outlook アプリケーション
  • Internet Explorer ブラウザ
  • Mozilla Firefox ブラウザ
  • Google Chrome ブラウザ
  • Microsoft Skype アプリケーション
  • TeamViewer アプリケーション
  • VLC メディア プレイヤー アプリケーション
  • Microsoft Windows Script Host
  • Microsoft PowerShell アプリケーション
  • Adobe Acrobat Reader アプリケーション
  • Microsoft Register Server
  • Microsoft Task Scheduler Engine

次の詳細なデモで、エクスプロイト防止機能の活用例をご覧ください。

Cisco AMP for Endpoints に搭載されたエクスプロイト防止機能の詳細については、www.cisco.com/jp/go/ampendpoint を参照してください。

Tags:
コメントを書く