・前提
最近のゼロトラストの時流に乗り、EDRについて学習したい意欲があったのですが、タイムリーなことに今月の日経ネットワークにEDRのセキュリティリスクに関する記事があったので後学のために気になった部分を以下にまとめる
最新の手口①(BYOVD)
EDR(エンドポイントでセキュリティ上の脅威を検出して対応するソフト)について、最も近年注目すべき手口としてBYOVDというものがあるようで、その内容は既知の脆弱性を持つ正規のドライバを攻撃者が持ち込んで悪用してカーネルレベルの権限を取得して攻撃に利用する
具体的な製品名は日経ネットワークを参照していただくとして、脆弱性の一例として任意のメモリにアクセスできてしまうものがあるようだ
このような脆弱性を悪用するツールはEDRやAVの監視機能を無効にするもので、たちが悪いのが、脆弱性があるものの、正規のドライバであるため検知から除外されやすく権限の高いカーネルモードで動作するので攻撃との相性がよい
※この記事を読んで一番驚いたことが、今年のcloudstrike社の史上最大規模の障害について、カーネルドライバ側の処理に基づいたもので合ったことを学んでセキュリティ関連はOSのコアなところで操作する必要があるから権限についてもかなりの裁量を与えられているという点で、扱いが怖いと考えた
最新の手口②(OSの例外処理を狙う)
windowsのドライバの署名はMSが信頼するCAによって署名された証明書を使っているから安心だと思われていたが、ある時期以前の証明書について署名されたドライバについて許可するという例外処理を利用してOSのプログラムの実行過程に介入して期限切れの証明書の署名時刻の有効性を誤認させてまんまと無効化するというものがあるようだ
最新の手口③(EDRの検知情報の通信を止めて監視機能を無効化)
Windows Defender ファイアウォールの悪用として管理者権限を持つ攻撃者が任意のEDRの通信を遮断できるので、EDRの管理サーバへの通信を遮断するなどして監視機能を無効化する