EDRChokerツール:Windows QoSポリシーを悪用してエンドポイントセキュリティツールを妨害

「EDRChoker」と名付けられた新たなレッドチームツールが、セキュリティコミュニティで注目を集めています。このツールは、WindowsのポリシーベースQoS(Quality of Service)を悪用することで、エンドポイント検知・対応(EDR)の可視性を妨害するという、これまでにない手法を採用しています。

ファイアウォール操作やWindowsフィルタリングプラットフォーム(WFP)へのルール挿入に依存する従来のEDR回避技術とは異なり、EDRChokerはWindowsのネットワークスタックより低いレイヤーで動作します。エージェントの通信を絞り込むことで、一般的な検知アーティファクトを生成することなく、テレメトリを事実上遮断するのが特徴です。

現代のEDRプラットフォームは、テレメトリの送信、ポリシーの適用、リモートレスポンス操作の実行において、クライアントとサーバ間の継続的な通信に大きく依存しています。この通信チャネルが妨害されると、EDRエージェントの有効性は著しく低下し、エンドポイントが部分的に「盲目」状態になることがほとんどです。

従来、攻撃者やレッドチームオペレーターは、Windows Defenderファイアウォールのルールや、FwpmFilterAdd0などのWFP APIを直接呼び出すことで、EDRプロセスのアウトバウンドトラフィックをブロックしてきました。

しかしこれらの手法は、パケットドロップやパケットブロックのイベントなど、検知可能な痕跡を残すことが多く、Elastic Defendなどのセキュリティ製品による監視対象となっています。

EDRChokerは、WindowsのQoSポリシーを活用して対象プロセスに極度の帯域幅スロットリングを適用するという、より巧妙な代替手法を導入しています(Zero Salariumが報告)。

このツールはネットワークトラフィックを完全に遮断するのではなく、利用可能な帯域幅を毎秒8ビットという極限まで絞り込み、通信を事実上使用不能にします。1KB/sという控えめなスロットリングであっても、現代の暗号化接続を切断するには十分です。

一般的なTLSハンドシェイクには、証明書チェーンや暗号化ネゴシエーションの影響で、数キロバイトのデータ交換が必要です。帯域幅がこのしきい値を下回ると、ハンドシェイク処理がアプリケーションのタイムアウト制限を超え、意図的な妨害ではなく不安定なネットワーク環境に見せかけた接続失敗が繰り返し発生します。

この技術を可能にしている根本的なメカニズムは、NDIS(Network Driver Interface Specification)レベルで動作するQoSパケットスケジューラドライバ(pacer.sys)です。

このドライバはWFPよりもネットワークインターフェースカードに近い位置で動作するため、上位レイヤーのフィルタリング処理が完了した後にトラフィックシェーピングを適用できます。多くのEDRソリューションがWFPやアプリケーションレベルのフックといった上位レイヤーの監視に注力しているため、QoSベースのスロットリングは従来の検知ロジックを回避できます。

EDRChokerはこのプロセスを自動化しており、既知のEDRプロセス名のリストを受け取り、それぞれに個別のQoSポリシーを適用します。これらのポリシーはPowerShellまたはグループポリシーを通じてWindowsのネイティブ機能を利用して作成され、システム再起動後も持続します。

各ルールはランダム生成されたGUIDベースの名前で識別されるため、検知や相関分析が困難です。テスト環境(Elastic Deployを含む)では、影響を受けたエージェントが管理サーバとの接続を完全に失い、ログの取り込み、アラート発火、リモート制御が不能になったと報告されています。

このツールは2つのモードで動作します。入力リストに基づいてスロットリングポリシーを適用するインストールモードと、既に作成されたQoSルールを削除する除去モードです。

この二重機能により、制御された環境で攻撃フェーズとクリーンアップフェーズの両方をシミュレートできます。特筆すべき点として、この技術は正規の管理機能に依存しているため、管理者権限が必要です。これは、企業環境における権限管理の重要性を改めて示しています。

防御の観点からは、この技術によってQoSポリシー悪用に関する可視性のギャップが浮き彫りになっています。セキュリティチームは、QoS設定の定期的な監査、New-NetQosPolicyに関連するPowerShellアクティビティの監視、ポリシー作成イベントに関するWindowsイベントログのレビューを実施することが推奨されます。

また、この攻撃には管理者アクセスが前提となるため、権限昇格や不審な管理操作といった侵害前の兆候を検知することも引き続き重要です。

EDRChokerは、敵対的な攻撃手法における広範なトレンドを浮き彫りにしています。それは、露骨なブロック機構から、通常のシステム動作に溶け込む巧妙な劣化技術へのシフトです。

テレメトリの存在そのものではなく、その信頼性を標的にすることで、攻撃者は従来のアラームを発動させることなくブラインドスポットを生み出せます。EDRソリューションが進化する中、pacer.sysやQoS適用といった低レイヤーのネットワークコンポーネントへの可視性が、この新たな回避ベクターへの対抗策として不可欠になるかもしれません。

翻訳元: https://gbhackers.com/edrchoker-tool-abuses-windows-qos-policies/

ソース: gbhackers.com