プロセスDoppelgangingを検出できなくても、隔離機能があなたを保護します

Process Doppelganging Can’t be Detected, but Isolation Will Keep You Protected by  Adrian Taylor 年12月20日 より


  • プロセスDoppelganging(ドッペルゲンジング)は、大半のセキュリティツールをバイパスし、すべてのWindowsバージョンで動作してしまう、新しいコードインジェクション技術である。

  • 検出に依存したセキュリティソリューション頼りでは、プロセスDoppelgangingに対して脆弱になる。

  • Bromiumは、信頼できないタスクをハードウェア的に隔離した仮想マシンで実行するため、ゼロデイや新たな検出不可能な手口からも常に保護することが可能になる。

プロセスDoppelganging(ドッペルゲンジング)とは何でしょうか?

ビギナーにとっては、ウムラウト(ラテン文字の母音字の上部に付される横並びの2点「¨」)の入力方法を知る必要がある語句(a=Alt+0228など)です。 そして、それは最新のヘヴィメタルバンドの名前ではありません。

プロセスDoppelgangingは、最新のアンチウィルス(AV)ソリューションで検出し、修復することは非常に困難なことが良く知られた、増大していく攻撃手法のリストの中でも目立たない、新しい手法を採用しています。

このプロセスのニュースはロンドンのBlack Hat Europe 2017セキュリティカンファレンス(12月4日~7日)で発表されました。 詳細は完全には公開されていないものの、Process Hollowingというテクニックに似ていることが専門家により示唆されています。 これは、iexplore.exe(IEブラウザ)やexplorer.exe(ファイルマネージャ)などの一般的、かつ正当で目立たないプロセスを、悪意のコードのコンテナとして使用したものです。

プロセスの開始後すぐに、悪意のあるコードがそれを強制的に一旦停止させ、メモリを拭き取り、代替のコードを注入します。 ディスク上のファイル(explorer.exe)は変更されていませんが、プロセスとそのデータはマルウェアによってハイジャックされてしまいます。

Process Hollowing手法自体は長年に渡って存在しており、多くの検出ツールはこの動作を検出することはできますが、正当なソフトウェアも類似の動作をするため容易ではありません。 コードが悪意を持ったものである可能性が高いことを検出するには、多数のトリッキーな操作が必要です。

プロセスDoppelgangingはディスクを襲わず、AV検出を回避してしまいます

プロセスDoppelgangingでのプロセスのハイジャック方法はさらに進んでいます。 新しい実行ファイルの命令をメモリに直接書き込む(この場合は検知される可能性あり)ことはせず、マルウェアが直接ディスクに向かいます。 ディスクには何も書き込まず、代わりに、ディスク上に命令が書き込まれようとする、動作上の決まり事の一つであるディスクの「トランザクション」を始動します。 その後トランザクションは即座に破棄され、ディスク上では何もされなかった状態が確立されてしまいます。

その間、不正なマルウェアは、破棄されたトランザクション中にディスクに書き込まれようとした内容に沿って、新しいプロセスを開始します。 そしてディスクに触れることなく、AVで簡単に発見できる旧式のProcess Hollowing技術を使わずに、悪意のあるコードが新しいプロセスで実行されてしまうわけです。

実際、誰もプロセスDoppelgangingを検出することはできません

プロセスDoppelgangingについて、BleepingComputer の記事では、「研究者はKaspersky、Bitdefender、ESET、Symantec、McAfee、Windows Defender、AVG、Avast、Qihoo 360、Pandaによる製品に対して攻撃するテストに成功し、さらに、Volatilityなどの高度なフォレンジックツールでさえ、それを検出しなかった」と報じています。 Bromiumも現状それを検出することはできません。 当社の検出エンジンは新しい脅威に対処するために検出機能をアップデートするように努めています。

Bromiumは検出に依存しないので、それでもあなたは保護されます

検出に頼るのではなく、むしろBromiumは常に保護します。 Bromiumでは、信頼されていないタスクはハードウェア的に隔離された仮想マシンで実行しますが、基本的にエンドユーザーの目には入りません。 つまり、ユーザーが電子メールから添付ファイルをダウンロードしたり、ブラウザでタブを開いたり、信頼されていないOfficeやPDFドキュメントを実行したり、信頼できない実行ファイルを起動するたびに、Bromiumはそれらの活動をマイクロVMの中に隔離します。

マルウェアが存在しない場合、それは従業員の方々のための目に見えない保護になります。 マルウェアが入り込んだ場合、マイクロVM内で実行され、攻撃者の意図通りに実行されます(ファイルレスマルウェアを含む)。 その活動は、キルチェーン分析のために、極めて正確な記録になります。 マイクロVMが閉じられるとマルウェアはなくなります。 マルウェアは、実際のホストPC、オペレーティングシステム、ファイルシステム、ネットワーク、または重要な社内ITリソースに到達することはできません。

Bromiumがマルウェアを検出できる場合、イベントに関するフォレンジックレポートを追加情報として取得できます。 新しい、検出不可能な手口やゼロデイに対処する場合でも、エンドポイントは依然安全です。

検出する前に保護することが、唯一の安全なアプローチ

Doppelgangingはサイバー防御者や研究者にとっては新しいかもしれませんが、攻撃者が企業や政府組織のネットワークに対していつ頃から使われているかは分かりません。 そして、マルウェアの次のラウンドは既にそこにあり、まだ検出されていないのです。

私たちからのアドバイス:
  • 電子メールの添付ファイル、電子メールのリンク、Webリンク、および実行可能ファイルなどの信頼できないタスクについては、最悪の場合を想定する。
  • 検出能力(当社を含む)については、最悪の場合を想定する。
  • isolationに任せる - それはあなたが存在さえ知らない(或いは、説明できない)脅威からあなたを守り続けます。


本和訳文の著作権は株式会社ブロードに帰属します。株式会社ブロードは米国Bromium社のアジア地区における総販売代理店です。