CrowdStrike Blog:カーネル攻撃の検知と防御 | ScanNetSecurity
2024.03.29(金)

CrowdStrike Blog:カーネル攻撃の検知と防御

残念ながら、カーネルドライバの署名およびロードの仕様上、OS がこのような攻撃を防御することは困難です。つまり、エンドユーザー側の責任で強固なセキュリティ戦略とツールセットを駆使して、この種の攻撃を検知・防御しなければならないことを意味します。

脆弱性と脅威
CrowdStrike Blog:カーネル攻撃の検知と防御
  • CrowdStrike Blog:カーネル攻撃の検知と防御
  • 図1:RobbinHoodランサムウェアが関与するドライバをブロックするプロセス
  • 図2:ポリシーのSuspicious Kernel Driversトグルをオンにして不審なカーネルドライバを防御する

 どのようなサイバー攻撃でも事業運営に多大な影響を与える可能性があります。ただ、カーネル攻撃以上に高度な攻撃手法はないかもしれません。

 カーネル攻撃とは、カーネルや他のカーネルドライバに内在する OS のゼロデイ脆弱性を、パッチが適用された後でも悪用する攻撃です。典型的なカーネル攻撃では、攻撃者が既知の脆弱性のあるドライバをインストールしてロードし、システムにアクセスすると、権限を昇格させてシステムを改ざんします。多くの OS は、正規のベンダーが作成し署名したドライバしか受け付けません。サイバー犯罪者らは、正規のベンダーが作成したドライバのうち脆弱性を含むものを悪用します。

 彼らはそのような脆弱なドライバを利用してカーネルにアクセスすると、たとえばセキュリティ機能の削除や無効化のように、さまざまなアクションを実行できるようになります。このようなドライバは正規の署名を得ており、証明書は簡単に取り消しできないため、パッチ未適用のドライバが検知/ブロックされることなく、数年間も野放し状態で不正利用されることがあります。

 以前は、カーネル攻撃は非常に巧妙で、比較的まれにしか発生していませんでしたが、一般的になりつつあります。このような攻撃に悪用された顕著な例として、2020 年末に Google のセキュリティ調査チーム「Project Zero」が報告したマイクロソフトの暗号化ドライバ(cng.sys)内の新しいゼロデイ脆弱性が挙げられます。

 この脆弱性は、ドライバ内部の特定の入出力制御(IOCTL)パス内に生じるもので、ユーザーモードのアプリケーションによる悪用を容易に許してしまいます。Google は、この脆弱性を報告するとともに、Chrome のセキュリティサンドボックスをすり抜け、さらなる攻撃を進めるためにこのコードが積極的に悪用されていることを公表しました。詳細については、Google の Project Zeroチームによる Windowsカーネルの脆弱性に関する報告を参照してください。

●解決策

 残念ながら、カーネルドライバの署名およびロードの仕様上、OS がこのような攻撃を防御することは困難です。つまり、エンドユーザー側の責任で強固なセキュリティ戦略とツールセットを駆使して、この種の攻撃を検知・防御しなければならないことを意味します。

 CrowdStrike Falcon Sensor(リリース5.41以降)では、脆弱なドライバと悪質なドライバの両方を検知してロードを阻止し、それらのドライバを介して晒される脆弱な IOCTL を保護します。このような機能がすべてクラウドで制御できるのが重要なポイントです。製品のバージョンが 5.41以降であれば、物理的なセンサーをアップグレードする必要なく、同じレベルのセキュリティを維持することができます。

 たとえば、2019 年に発生した、RobbinHood として知られるグループによる有名なランサムウェア攻撃では、正規のハードウェアドライバを介して、ソフトウェアの既知の脆弱性「CVE-2018-19320」が悪用されました。このアクセスポイントを利用して、カーネルメモリの設定を改ざんし、サイバーセキュリティ機能を無効にしていました。この攻撃は、ボルチモア市などの複数の有名な組織を標的としており、専門家は、すべての被害組織を合わせた身代金の総額は数百万ドルにのぼると試算しています。 RobbinHood による攻撃の詳細については、こちらを参照してください

図1:RobbinHoodランサムウェアが関与するドライバをブロックするプロセス

●Falcon Sensor上で機能を有効化する

 脆弱なデバイスドライバとのユーザーモードでの(IOCTL経由の)交信を検知する機能は、Falcon の防御ポリシーで Additional User-Mode Data(AUMD)を有効にする必要があります。Falcon Sensor がこれらの脆弱なデバイスドライバの悪用を阻止できるようにするには、Falcon の防御ポリシーで[Malware Protection]→[Execution Blocking]の順に選択し、[Suspicious Processes](不審なプロセス)のトグルをオンにします。

●悪質なドライバをブロックする

 CrowdStrike が悪質であると判断したドライバは、Falcon の防御ポリシーで[Malware Protection]→[Execution Blocking]の順に選択し、[Suspicious Kernel Drivers](不審なカーネルドライバ)トグルをオンにすることで、Windows 10/Server 2016 での読み込みをブロックできます。

図2:ポリシーのSuspicious Kernel Driversトグルをオンにして不審なカーネルドライバを防御する

●最後に:カーネル攻撃から保護する

 全ての組織が、カーネル攻撃を防ぐために必要な手順を踏むことが大切です。このような攻撃を防御するためにどのような対策が取られているか、また利用可能なソリューションがあるかを御社のサイバーセキュリティパートナーにぜひお問い合わせください。あるいはクラウドストライクにご連絡いただければ、相談やデモの紹介などご要望にお答えいたします。

参考文書:
https://www.theregister.com/2020/10/30/windows_kernel_zeroday/
https://bugs.chromium.org/p/project-zero/issues/detail?id=2104
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2020-17087
https://www.crowdstrike.com/blog/tech-center/kernel-exploit-prevention/

●その他のリソース
ランサムウェアの進化に関するホワイトペーパーをご一読ください。
CrowdStrike Falconプラットフォームについての説明をご覧いただけます。
・CrowdStrike の EDR に関する詳細については、Falcon Insight の Webページで紹介しています。
・CrowdStrike の次世代型AV をお試しください。Falcon Prevent の無料トライアル

*原文は CrowdStrike Blog サイト掲載 :
https://www.crowdstrike.com/blog/how-to-detect-and-prevent-kernel-attacks-with-crowdstrike/

《Blair Foster エンジニアリング&テクノロジー (CrowdStrike)》

編集部おすすめの記事

特集

脆弱性と脅威 アクセスランキング

  1. Python 3.10.14、3.9.19、3.8.19 をリリース

    Python 3.10.14、3.9.19、3.8.19 をリリース

  2. Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

    Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

  3. 富士通「Smart City 5G」等ソースコード流出か/長江メモリがエンティティリスト入り/検索エンジン悪用攻撃 FBI 警告 ほか [Scan PREMIUM Monthly Executive Summary 2022年12月度]

    富士通「Smart City 5G」等ソースコード流出か/長江メモリがエンティティリスト入り/検索エンジン悪用攻撃 FBI 警告 ほか [Scan PREMIUM Monthly Executive Summary 2022年12月度]

  4. KDDI 製ホームゲートウェイ HGW BL1500HM に複数の脆弱性

  5. エポスカードを騙るフィッシングSMSを確認(フィッシング対策協議会)

  6. CLUB Panasonic を騙る不審メールに注意を呼びかけ、「ETC利用照会サービス」や「dカード利用停止のお知らせ」など

  7. 観光庁が注意喚起、Booking.com 利用者へのフィッシング被害

  8. 「Pokemon GO」で身元バレの可能性、個人情報の管理に注意

  9. 2021年にプロジェクト終了の Zeroshell に OS コマンドインジェクションの脆弱性、2023年11月に開発者への連絡を確立

  10. TikTok を悪用する新たな詐欺行為、盗んだ動画でライブ配信しギフトを収益化

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×