EDRがEDRを無効化する仕組み

Tero Vesalainen | shutterstock.com

サイバーセキュリティ研究者は、不吉な新たな攻撃ベクトルを発見しました。攻撃者は、エンドポイント検知および対応（EDR）ソフトウェアの無料体験版を悪用して、既存のセキュリティツールを無効化できる可能性があります。研究者のエズラ・ウッズ氏とマイク・マンロッド氏は、この現象を発見し、「EDR-on-EDRバイオレンス」と呼んで記録しました。彼らの知見は、Mediumの投稿で公開されています。

「要約すると、EDR/AV製品は既存のツールを無効化・ブロックしたり、デバイスをリモート操作したり、場合によってはディスク全体を暗号化することさえ可能です」と研究者は述べています。この新たに発見された皮肉な攻撃ベクトルは、セキュリティ分野であまり疑問視されてこなかった前提、すなわち正規のセキュリティツールは常に信頼できるという考えを悪用しています。

EDRがEDRを無効化？

研究者によると、攻撃者はローカル管理者権限を持つ侵害済みシステム上にEDR製品の無料体験版をインストールし、それを使って既存のセキュリティツールをブロックするよう設定できるとのことです。ウッズ氏とマンロッド氏は、この手法でCisco Secure Endpoint、CrowdStrike Falcon、Elastic Defendを警告やアラートやテレメトリデータを生成することなく無効化することに成功しました。侵害されたエンドポイントは単にオフラインとして表示されるだけで、Mediumの投稿によれば、攻撃に使われるソフトウェアは有効なデジタル証明書を持ち、正規のものとして認識されるため、実際の正規インストールと区別がつきにくいのです。企業の現場では、セキュリティチームが意図的な妨害に気付かない可能性が高いといえます。

「これは、除外設定を削除し、既存のAV/EDR製品のハッシュ値をブロック対象アプリケーションのリストに追加することで実現できます」と研究者は分析で説明しています。ウッズ氏とマンロッド氏によれば、リモート監視・管理機能を備えたEDR製品は特に悪用の幅が広いとのことです。例えばESETのEDR製品を使った場合、侵害されたインスタンスをインストールし、ターゲットシステムのディスク全体を暗号化することができました。

「この攻撃ベクトルが興味深いのは、少なくとも一部の製品は改ざん防止機能が有効でも無効化できる点です」と研究者は記しています。攻撃にはローカル管理者権限が必要ですが、従来のEDR回避技術であるBYOVD（Bring Your Own Vulnerable Driver）やDLLアンフックと比べて、複雑さが低いアプローチだと指摘しています。

この攻撃ベクトルへの対策として、セキュリティ研究者は企業に以下を推奨しています：

• アプリケーション制御ソリューションを導入し、未承認のセキュリティソフトウェアのインストールをブロックする
• カスタムの攻撃インジケーターを実装し、不審なEDRインストールを検知する
• 「アプリケーション認識型」ファイアウォールやセキュアWebゲートウェイを活用し、セキュリティベンダーの未承認ポータルへのアクセスを防ぐ

ウッズ氏とマンロッド氏は、Mediumの投稿でセキュリティチームや専門家がこの知見を再現・検証し、攻撃ベクトルをより深く理解できるよう、詳細な手順も共有しています。彼らは、隔離されたシステムでの管理されたテストを推奨しています。（fm）

ITセキュリティに関する他の興味深い記事を読みたいですか？ 無料ニュースレターでは、セキュリティ担当者や専門家が知っておくべき情報をすべて、あなたの受信箱に直接お届けします。