サイバー攻撃者の常套手段「セキュリティソフトの無効化」に対抗するためには？｜トレンドマイクロ

インシデントの約半分でEPPの実行停止を確認

今年５月、SPYBOYと名乗るハッカーによってセキュリティソフトを無効化するツールの宣伝がアンダーグラウンドフォーラムに投稿されました。宣伝の中で、全てのアンチウィルス、EDR、XDRなどエンドポイントのセキュリティ製品を無効化できると主張されていたことから報道され、注目されました。

近年のサイバー攻撃は、金銭獲得や情報窃取といった目的に向けて、可能な限り侵害範囲を広げようとしたり、長期間組織内に潜伏できる環境を作ろうとしたりなど、攻撃手法を様々に工夫しています。
その為、「Human-Operated」と呼ばれるような、攻撃者がインターネット経由で被害組織の端末を遠隔操作しながら侵害を行う攻撃が主流となっています。
しかし、遠隔で被害組織の端末を操作すること自体にも複数のハードルがあり、初期侵入時のアクセス権の取得やバックドアツールなどのインストール、操作可能な権限の取得など、攻撃目的や保有するリソースに応じた様々な条件をクリアする必要があります。
そうした条件をクリアしていく中で、攻撃者にとって最も大きな障害の1つと言えるのが、セキュリティソフトの存在です。
攻撃者がダウンロードしようと画策しているマルウェアも、到達したいと考えている端末までの水平移動も、逐一ブロックや監視が行われてしまうことで、被害者が攻撃に気づく可能性が増えたり、せっかく侵入した組織から追い出されたりしてしまう可能性があります。
また、ランサムウェア攻撃などの場合、せっかく被害組織内部にランサムウェアをばらまくことができたとしても、その実行を直前でブロックされてしまうということになると、暗号化や脅迫など次の攻撃ステップに進むことができません。
これらの課題に対応する形で、より自由度の高い侵害環境を手に入れる、または攻撃成功への障害排除などの目的で、攻撃者はセキュリティソフトの無効化をその攻撃ステップの1つに組み込むことがあります。
実際に、トレンドマイクロが対応に協力したインシデントケースの内、約半数の事例でセキュリティソフトの実行停止が行われていました。

では、セキュリティソフトの無効化はどのように実行されるのでしょうか？実際のインシデントで見られた手法を挙げながら説明します。

エンドポイント端末に導入されたセキュリティソフトを無効化するにあたり、攻撃手法のパターンの例として2つ挙げられます。下記の図にもある通り、1つはシステム管理者権限（いわゆる特権アカウント）を奪取し、正規ツール（Process Hacker、GMER、PC Hunterなど）を用いて強制的にプロセスを停止するパターン、またもう1つはセキュリティソフトの管理者権限を奪取することで、正規のアンインストーラーを実行して端末から削除されてしまうパターンです。

認証情報が窃取され、セキュリティソフトを無効化されてしまったインシデント事例の詳細はこちらからご確認ください。

セキュリティソフトを止める主な兆候から対策へ

一見なすすべのないように見えるセキュリティソフトの無効化ですが、その被害の低減に向けてはどのようなことが実施できるでしょうか。
当たり前ではありますがポイントは、「無効化される前に攻撃に気づき、防ぐこと」です。セキュリティソフト無効化の実現には、必ず前述したような無効化の「兆候」や「前段階」が存在しています。

まずそもそもとして、組織内部への侵入が成功していなければセキュリティソフトの無効まで行われることはありません。つまり一般的な初期侵入対策が重要になります。具体的には、業務上必要なアカウントや通信を棚卸・定義し、不要なアカウントや通信プロトコルを削除または制限する、または上位権限のアカウントのログイン情報の管理やアクセス状況の監視を通して、攻撃者によるなりすましや不審な挙動を見抜くことなどが当てはまります。これには、ログイン情報をデフォルトから変更し複雑なものに設定しておく、セキュリティソフトのバージョンを常に最新版にアップデートし、脆弱性対策を施しておくなど、いわゆる「当たり前」のセキュリティ対策が含まれており、それらは高度な攻撃に対しても依然有効です。

また、侵入された後の対策として、「兆候」を見抜いて被害を抑えることが推奨されます。
無効化に使用するツールのログ情報検出、ネットワーク内部での横展開の検知、管理者権限の奪取を意図した挙動の監視など、各攻撃段階で行われる不正活動に迅速に気が付くために、多層防御の考え方を取り入れることが重要です。また適切な対応を素早く行うための体制構築も忘れてはなりません。ペネトレーションテストや訓練を実施し、侵入を確認した後の対応を素早く行う準備を行っておくことで、セキュリティソフト無効化前に攻撃を防ぐ能力を向上させることが可能です。
継続的に攻撃者の用いる攻撃手法がどういったものなのか、情報を収集することでより効率的に自社のセキュリティ対策を向上させることが可能です。

しかし、こうした防御側のアプローチを攻撃者は熟知しており、より自らの攻撃の痕跡を残さないよう環境寄生型（Living Off the Land）の攻撃などを駆使して検知の網から逃れられるような工夫を施して来ています。
一方で、防御する組織側のアセットや外部サービス利用数は増加する傾向にあり、膨大なログデータの中から手動で、セキュリティソリューション無効化の兆候を見極め、上記の対策を取りこぼしなく行うことは、非常に難しいといえます。

では、どのようなアプローチが有効と言えるのでしょうか。

XDRで複数のセキュリティレイヤーを監視

セキュリティソリューションの無効化という、高度な攻撃に対抗する為にはXDRの技術が有効です。
無効化の兆候となる、「認証情報の窃取」や「権限昇格」といった動作を見逃すことなく検知できるだけでなく、テレメトリを収集することによって複数のレイヤーを跨いだ攻撃の相関を分析できる為、通常の運用と攻撃者による偽装された攻撃を区別し、早期に見抜くことが可能となります。

またエンドポイント以外のメール、サーバ、クラウドワークロード、およびネットワーク等の複数レイヤーをもれなく監視できるので、そもそもの組織内部への侵入の時点で、検知できる可能性も高まります。
XDRのセンサーや機能自体も停止させられる可能性はあります。ただし、センサー範囲の広さやスレットインテリジェンスの活用により、前述した攻撃の兆候をとらえる能力に長けている上、ログ情報を別途バックアップする機能など、XDRが無効化される前や無効化させられてしまった後にも、より被害を抑える為の支援が可能です。

XDRの機能概要についてはこちら
トレンドマイクロ XDRについてはこちら

トレンドマイクロのTrend Vision Oneで迅速に兆候を検出

前述した通り、XDRでは様々な挙動の検出が可能です。
一方で、攻撃者もよりそうした検知にかからない為の工夫を凝らしていることもここまで言及してきました。
攻撃者が実施する環境寄生型の攻撃の具体例として、オープンソースソフト、Windows関連の正規ツール、商用ハッキングツールなどの「正規」のツールを利用することで検知から逃れることを目論見ます。
例えばMimikatzなどのオープンソースツールを使用することで認証情報を盗み出すことができたり、CobaltStrikeのような商用ハッキングツールを用いることで端末の遠隔操作が可能となります。
その為同じXDRソリューションでも、より豊富な検知性能がなければ、高度な攻撃を検出することはできません。
トレンドマイクロの「Trend Vision One」では、773の検知モデル（2023年6月16日時点）を用いて無効化の「兆候」となる「認証情報の窃取」、「権限昇格」、「ハッキングツールの実行」、「アンインストール実行」などを検出でき、不正活動を可視化し警告します。

さらに取得したテレメトリから内部での権限昇格や認証情報の活動を含めた攻撃全体を可視化することができます。これにより膨大なログの中から自動で攻撃の可能性がある挙動を特定した上で、悪意のある攻撃を見抜いて迅速な対応を可能にします。