Microsoftのレピュテーション保護に弱点、保護を保護する必要あり
マイナビニュース / 2024年8月7日 12時21分
Elasticsearchは2024年8月6日(米国時間)、「Dismantling Smart App Control — Elastic Security Labs」において、Microsoftが提供するSmart App ControlおよびSmartScreenなどのレピュテーション保護には弱点が存在し、バイパスできるとしてその手法と保護方法を解説した。
○レピュテーション保護の弱点
Elasticsearchの調査に基づくレピュテーション保護のバイパス手法の概要は次のとおり。
○署名されたマルウェア
Smart App Controlは未知のアプリの安全性を署名の正当性で確認する。つまり、署名のあるマルウェアは検出を回避できる。Elasticsearchの調査によると、サイバー犯罪者は企業になりすまして証明書を購入する方法を発見しており、100を超える固有の証明書が悪用されているという。
○評判の乗っ取り
レピュテーション保護の評判に基づくブロックを回避するため、攻撃者は評判の良いアプリを悪用することがある。具体的にはLua、Node.js、AutoHotkeyなどのインタープリター言語を使用する。インタープリター言語で記述されたマルウェアは、その言語の実行環境で動作することになるため検出されない。特にFFI(Foreign function interface)と呼ばれる機能を持つ言語は、コードやマルウェアをメモリ上で実行できるため、理想的な標的とされる。
○評判の種まき
評判に基づくブロックを回避する別の方法として、悪評のもとになる動作を隠す手法がある。具体的には新しいインタープリター言語の開発、既知の脆弱性を持つアプリの悪用、悪意のある処理を時限式に作動させる方法などがある。
Elasticsearchは検証のため、悪用可能なアプリを新しく開発して実験している。このアプリは設定ファイルに記載された外部アプリを起動するだけの単純なアプリで、初期設定では電卓アプリを起動する無害な状態にしている。
その状態のまま2時間経過すると、Smart App Controlから良好なラベルがつけられたという。Elasticsearchは設定を変更してcmd.exeを起動するようにし、実行に成功する様子を動画にて公開している。
○評判の改ざん
安全と評価された既存のアプリを改ざんする。レピュテーション保護はコードの改ざんを検出するためハッシュ情報を使用する。しかしながら、一部のコードセクションはハッシュ情報に含まれないため、その部分を変更しても検出されることはない。
○LNKストンピング
-
-
- 1
- 2
-
この記事に関連するニュース
-
Windowsの通信を悪用する新しいバックドア「BITSLOTH」発見、中国関与か
マイナビニュース / 2024年8月5日 9時9分
-
Microsoftユーザーを狙うフィッシング多発、複数ベンダーが警戒呼びかけ
マイナビニュース / 2024年8月2日 7時51分
-
偽のビデオ会議アプリでMacユーザー狙う、北朝鮮の脅威者に警戒を
マイナビニュース / 2024年7月18日 16時56分
-
WindowsのゲームやAIソフト偽る広告に注意、ブラウザから認証情報窃取の恐れ
マイナビニュース / 2024年7月18日 8時20分
-
Microsoft Officeユーザーを狙うサイバー攻撃に注意を
マイナビニュース / 2024年7月16日 8時5分
ランキング
-
1「本日分完売」続出…… 吉野家×カービィがコラボ人気 特典の転売に「許せません」「最悪」憤る声も
ねとらぼ / 2024年8月8日 14時55分
-
2クラウドストライク、Windows大規模障害の根本原因分析(RCA)結果を公開
ASCII.jp / 2024年8月7日 15時30分
-
3誤解しがちな“震度”と“マグニチュード”の違い、「震度8」が存在しない理由などについてやさしく解説
ニコニコニュース / 2023年4月6日 11時50分
-
4Windowsにゼロデイ脆弱性発見、修正パッチをロールバックされる恐れ
マイナビニュース / 2024年8月8日 14時52分
-
5LANコネクターのツメが折れてもこれでOK サンワサプライ、後付け用ラッチ発売
ASCII.jp / 2024年8月8日 12時20分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください
![](/pc/img/mission/mission_close_icon.png)