Microsoft Defender に擬装しマルウェアを歓迎する攻撃ツール | ScanNetSecurity
2024.03.04(月)

Microsoft Defender に擬装しマルウェアを歓迎する攻撃ツール

 かくしてシグネチャファイルを書き換えるツール、Defender Pretender(wd-pretender.exe)が完成した。Defender Pretender は、マルウェアやスパイウェアのブラックリスト、ホワイトリストを制御できる。つまり偽の Defender が正規の Defender をバイパスできることになる。攻撃者はシステムの保護機能に煩わされることなく、マルウェアをインストールすることができる。

研修・セミナー・カンファレンス
Microsoft Defender に擬装しマルウェアを歓迎する攻撃ツール(画像はイメージ)
  • Microsoft Defender に擬装しマルウェアを歓迎する攻撃ツール(画像はイメージ)
  • 脅威データベースの更新処理
  • 4 つの VDM ファイルでシグネチャ情報を更新する
  • Defender の更新処理のまとめ
  • Baseファイルにはマルウェアのシグネチャが平文で保存されている
  • システムファイルがロックされ起動しなくなった Windows

 Microsoft Defender は下手なサードパーティセキュリティソフトより優秀だ。専門家の中でも市販あるいはバンドルされるセキュリティソフトを利用せず Defender のみで PC を利用している人がいる。

 もっとも、そうなったのは、Windows OS の高機能化も一因である。リソース保護機能やセキュリティ強化に伴い、サードパーティ製のソフトウェアがファイルシステム等の内部機能にアクセスすることが難しくなっている現状がある。ファイアウォールやアンチウイルスのような基本的なセキュリティソフトは、より OS に近いレイヤで機能させたほうが合理的である。

 セキュリティベンダーにとっては競争原理が働きにくくなるが、Microsoft Defender の実装方針は理にかなっている。業務上の制約や規則がないかぎり、安易に無効化すべきではない。

 だが、Defender は本当に信頼できるソフトウェアなのだろうか?

● 2012 年に悪用された当時の Defender の脆弱性

 その一例を示すツールが 2023 年の Black Hat USA 2023(ラスベガス)で公開された。発表者は SafeBreachLABS の Tomer Bar 氏と Omer Attias 氏。SafeBreach は Black Hat USA で 10 回ほど発表を行っており、Bar 氏も23 年の Black Hat、DEFCON などで複数の発表を行っている。Attias 氏は、サイバーセキュリティでは 6 年のキャリアながら、OS やアセンブラなど低レイヤの技術に長けている。今回のツールを実現した脆弱性は、彼の OS レベルでの Defender の解析による。

 このセッションでは、Defender のアップデートプロセスの紹介を行い、次にそのプロセスに潜む脆弱性を解説する。そして、攻撃をどのように実現したかの技術を紹介した。そして最後に、開発した「Defenderのフリをする」ツール「Windows Defender Pretender(wd-pretender.exe)」を使った 3 つの攻撃デモを披露した。


《中尾 真二( Shinji Nakao )》

編集部おすすめの記事

特集

研修・セミナー・カンファレンス アクセスランキング

  1. パナソニック他 大手が続々「Cloudbase」を採用、日本人が日本企業のために作るクラウドセキュリティプラットフォーム

    パナソニック他 大手が続々「Cloudbase」を採用、日本人が日本企業のために作るクラウドセキュリティプラットフォーム

  2. ここを押さえておかないと情報が漏れる/システムが停止する ~ アカマイが語る Web への攻撃の変化

    ここを押さえておかないと情報が漏れる/システムが停止する ~ アカマイが語る Web への攻撃の変化

  3. エージェント不要の C2 サーバ「MDMatador(マタドール)」とは?

    エージェント不要の C2 サーバ「MDMatador(マタドール)」とは?

  4. 到来する「脆弱性対策義務化時代」に脆弱性管理サービス「SIDfm」が果たす役割

  5. IT を「使う」から「作る」まで ~ 「HCL BigFix」「HCL AppScan」でできること

  6. Google & 米Yahoo! の迷惑メール対策強化について~ JPAAWG 緊急ウェビナーで喫緊課題への具体的な疑問が続出

  7. セキュリティは「CIA」から「CPA」へ ~ 阿部慎司が考える「セキュリティ対応組織の教科書 第3版」活用法

  8. SSE(Security Service Edge)の未来の実力者 Lookout が考える、リモートワークとクラウド化のこれから

  9. ATMの脆弱性とハッキング、その攻撃事例と安全対策 (CODE BLUE 2016)

  10. サイバー攻撃被害額 減らすセキュリティ対策と、反対に増やしてしまう組織体制とは?~日本IBM講演

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×