CrowdStrike Blog:カーネル攻撃の検知と防御 | ScanNetSecurity
2022.10.05(水)

CrowdStrike Blog:カーネル攻撃の検知と防御

残念ながら、カーネルドライバの署名およびロードの仕様上、OS がこのような攻撃を防御することは困難です。つまり、エンドユーザー側の責任で強固なセキュリティ戦略とツールセットを駆使して、この種の攻撃を検知・防御しなければならないことを意味します。

脆弱性と脅威
CrowdStrike Blog:カーネル攻撃の検知と防御
  • CrowdStrike Blog:カーネル攻撃の検知と防御
  • 図1:RobbinHoodランサムウェアが関与するドライバをブロックするプロセス
  • 図2:ポリシーのSuspicious Kernel Driversトグルをオンにして不審なカーネルドライバを防御する

 どのようなサイバー攻撃でも事業運営に多大な影響を与える可能性があります。ただ、カーネル攻撃以上に高度な攻撃手法はないかもしれません。

 カーネル攻撃とは、カーネルや他のカーネルドライバに内在する OS のゼロデイ脆弱性を、パッチが適用された後でも悪用する攻撃です。典型的なカーネル攻撃では、攻撃者が既知の脆弱性のあるドライバをインストールしてロードし、システムにアクセスすると、権限を昇格させてシステムを改ざんします。多くの OS は、正規のベンダーが作成し署名したドライバしか受け付けません。サイバー犯罪者らは、正規のベンダーが作成したドライバのうち脆弱性を含むものを悪用します。

 彼らはそのような脆弱なドライバを利用してカーネルにアクセスすると、たとえばセキュリティ機能の削除や無効化のように、さまざまなアクションを実行できるようになります。このようなドライバは正規の署名を得ており、証明書は簡単に取り消しできないため、パッチ未適用のドライバが検知/ブロックされることなく、数年間も野放し状態で不正利用されることがあります。

 以前は、カーネル攻撃は非常に巧妙で、比較的まれにしか発生していませんでしたが、一般的になりつつあります。このような攻撃に悪用された顕著な例として、2020 年末に Google のセキュリティ調査チーム「Project Zero」が報告したマイクロソフトの暗号化ドライバ(cng.sys)内の新しいゼロデイ脆弱性が挙げられます。

 この脆弱性は、ドライバ内部の特定の入出力制御(IOCTL)パス内に生じるもので、ユーザーモードのアプリケーションによる悪用を容易に許してしまいます。Google は、この脆弱性を報告するとともに、Chrome のセキュリティサンドボックスをすり抜け、さらなる攻撃を進めるためにこのコードが積極的に悪用されていることを公表しました。詳細については、Google の Project Zeroチームによる Windowsカーネルの脆弱性に関する報告を参照してください。

●解決策

 残念ながら、カーネルドライバの署名およびロードの仕様上、OS がこのような攻撃を防御することは困難です。つまり、エンドユーザー側の責任で強固なセキュリティ戦略とツールセットを駆使して、この種の攻撃を検知・防御しなければならないことを意味します。

 CrowdStrike Falcon Sensor(リリース5.41以降)では、脆弱なドライバと悪質なドライバの両方を検知してロードを阻止し、それらのドライバを介して晒される脆弱な IOCTL を保護します。このような機能がすべてクラウドで制御できるのが重要なポイントです。製品のバージョンが 5.41以降であれば、物理的なセンサーをアップグレードする必要なく、同じレベルのセキュリティを維持することができます。

 たとえば、2019 年に発生した、RobbinHood として知られるグループによる有名なランサムウェア攻撃では、正規のハードウェアドライバを介して、ソフトウェアの既知の脆弱性「CVE-2018-19320」が悪用されました。このアクセスポイントを利用して、カーネルメモリの設定を改ざんし、サイバーセキュリティ機能を無効にしていました。この攻撃は、ボルチモア市などの複数の有名な組織を標的としており、専門家は、すべての被害組織を合わせた身代金の総額は数百万ドルにのぼると試算しています。 RobbinHood による攻撃の詳細については、こちらを参照してください

図1:RobbinHoodランサムウェアが関与するドライバをブロックするプロセス

●Falcon Sensor上で機能を有効化する

 脆弱なデバイスドライバとのユーザーモードでの(IOCTL経由の)交信を検知する機能は、Falcon の防御ポリシーで Additional User-Mode Data(AUMD)を有効にする必要があります。Falcon Sensor がこれらの脆弱なデバイスドライバの悪用を阻止できるようにするには、Falcon の防御ポリシーで[Malware Protection]→[Execution Blocking]の順に選択し、[Suspicious Processes](不審なプロセス)のトグルをオンにします。

●悪質なドライバをブロックする

 CrowdStrike が悪質であると判断したドライバは、Falcon の防御ポリシーで[Malware Protection]→[Execution Blocking]の順に選択し、[Suspicious Kernel Drivers](不審なカーネルドライバ)トグルをオンにすることで、Windows 10/Server 2016 での読み込みをブロックできます。

図2:ポリシーのSuspicious Kernel Driversトグルをオンにして不審なカーネルドライバを防御する

●最後に:カーネル攻撃から保護する

 全ての組織が、カーネル攻撃を防ぐために必要な手順を踏むことが大切です。このような攻撃を防御するためにどのような対策が取られているか、また利用可能なソリューションがあるかを御社のサイバーセキュリティパートナーにぜひお問い合わせください。あるいはクラウドストライクにご連絡いただければ、相談やデモの紹介などご要望にお答えいたします。

参考文書:
https://www.theregister.com/2020/10/30/windows_kernel_zeroday/
https://bugs.chromium.org/p/project-zero/issues/detail?id=2104
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2020-17087
https://www.crowdstrike.com/blog/tech-center/kernel-exploit-prevention/

●その他のリソース
ランサムウェアの進化に関するホワイトペーパーをご一読ください。
CrowdStrike Falconプラットフォームについての説明をご覧いただけます。
・CrowdStrike の EDR に関する詳細については、Falcon Insight の Webページで紹介しています。
・CrowdStrike の次世代型AV をお試しください。Falcon Prevent の無料トライアル

*原文は CrowdStrike Blog サイト掲載 :
https://www.crowdstrike.com/blog/how-to-detect-and-prevent-kernel-attacks-with-crowdstrike/

《Blair Foster エンジニアリング&テクノロジー (CrowdStrike)》

編集部おすすめの記事

特集

脆弱性と脅威 アクセスランキング

  1. Apache Tomcat での Http11Processorインスタンスにおける競合状態による情報漏えいの脆弱性

    Apache Tomcat での Http11Processorインスタンスにおける競合状態による情報漏えいの脆弱性

  2. Linux カーネルの Netfilter の nft_set_elem_init 関数において権限昇格が可能となる Type Confusion の脆弱性(Scan Tech Report)

    Linux カーネルの Netfilter の nft_set_elem_init 関数において権限昇格が可能となる Type Confusion の脆弱性(Scan Tech Report)

  3. Microsoft Exchange サーバにゼロデイ脆弱性、悪用した攻撃も確認

    Microsoft Exchange サーバにゼロデイ脆弱性、悪用した攻撃も確認

  4. 三菱電機製家電製品に複数の脆弱性

  5. 4 月 1 日から文部科学省の Web サイトが見られなくなる? ブラウザにおける TLS1.0 / TLS1.1 の廃止

  6. ユニモテクノロジー製デジタルビデオレコーダに重要な機能に対する認証の欠如の脆弱性

  7. 8月下旬からインターネットバンキングに係る不正送金被害が急増、注意を呼びかけ

  8. ここが変だよ日本のセキュリティ 第 46 回 「ざんねんなセキュリティ事典」(前編)

  9. Apache HTTP Server 2.4に複数の脆弱性

  10. 2022年1~12月の Microsoft 月例パッチ公開予定

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×