Microsoftのレピュテーション保護に弱点、保護を保護する必要あり

画像提供：マイナビニュース

Elasticsearchは2024年8月6日(米国時間)、「Dismantling Smart App Control — Elastic Security Labs」において、Microsoftが提供するSmart App ControlおよびSmartScreenなどのレピュテーション保護には弱点が存在し、バイパスできるとしてその手法と保護方法を解説した。

○レピュテーション保護の弱点

Elasticsearchの調査に基づくレピュテーション保護のバイパス手法の概要は次のとおり。
○署名されたマルウェア

Smart App Controlは未知のアプリの安全性を署名の正当性で確認する。つまり、署名のあるマルウェアは検出を回避できる。Elasticsearchの調査によると、サイバー犯罪者は企業になりすまして証明書を購入する方法を発見しており、100を超える固有の証明書が悪用されているという。
○評判の乗っ取り

レピュテーション保護の評判に基づくブロックを回避するため、攻撃者は評判の良いアプリを悪用することがある。具体的にはLua、Node.js、AutoHotkeyなどのインタープリター言語を使用する。インタープリター言語で記述されたマルウェアは、その言語の実行環境で動作することになるため検出されない。特にFFI(Foreign function interface)と呼ばれる機能を持つ言語は、コードやマルウェアをメモリ上で実行できるため、理想的な標的とされる。
○評判の種まき

評判に基づくブロックを回避する別の方法として、悪評のもとになる動作を隠す手法がある。具体的には新しいインタープリター言語の開発、既知の脆弱性を持つアプリの悪用、悪意のある処理を時限式に作動させる方法などがある。

Elasticsearchは検証のため、悪用可能なアプリを新しく開発して実験している。このアプリは設定ファイルに記載された外部アプリを起動するだけの単純なアプリで、初期設定では電卓アプリを起動する無害な状態にしている。

その状態のまま2時間経過すると、Smart App Controlから良好なラベルがつけられたという。Elasticsearchは設定を変更してcmd.exeを起動するようにし、実行に成功する様子を動画にて公開している。
○評判の改ざん

安全と評価された既存のアプリを改ざんする。レピュテーション保護はコードの改ざんを検出するためハッシュ情報を使用する。しかしながら、一部のコードセクションはハッシュ情報に含まれないため、その部分を変更しても検出されることはない。
○LNKストンピング