サイバー脅威
Windowsカーネルの脅威を分析
本記事では、攻撃者がカーネルレベルへのアクセスを「選択する理由」及び「選択しない理由」について解説します。また、2015年4月から2022年10月までに報告されたカーネルレベルの脅威の概要についても解説します。
本記事では、攻撃者がカーネルレベルへのアクセスを「選択する理由」及び「選択しない理由」について解説します。また、2015年4月から2022年10月までに報告されたカーネルレベルの脅威の概要についても解説します。
「高特権アクセス」及び「検知の回避」が可能なため、Windowsカーネルの脅威は、攻撃者の間で長期に渡り好まれてきました。このような対処が難しい脅威は、攻撃者のキルチェーンにおいて重要な構成部分となっています。実際、サイバーセキュリティ企業SentinelOneは、通信、BPO(Business Process Outsourcing)、MSSP(Managed Security Service Provider)、そして金融サービス業界に対する標的型攻撃において、Microsoftの署名入りドライバを悪用している例を確認しています。また、脅威解析センターSophosLabs は、「暗号化し署名された Windows ドライバ」及び「標的のマシン上でエンドポイント・セキュリティ・プロセスやサービスを終了させるローダアプリケーション」を確認しています。
本記事では、攻撃者がカーネルレベルへのアクセスを「選択する理由」及び「選択しない理由」両者について解説します。また、2015年4月から2022年10月までに報告されたカーネルレベルの脅威について概要を解説します。なお、Windowsカーネル脅威の詳細は「攻撃者が悪用するWindowsカーネルに対する脅威の分析」において、より包括的な分析を行っています。
「カーネルレベル」へのアクセスを追求することの是非
攻撃者にとって、カーネルへの自由なアクセスは有効な攻撃手段となります。カーネルレベルにおいて不正なコードを実行できるだけでなく、探知されることなく被害者のセキュリティ防御を無効化できるためです。しかし、その一方で「カーネルレベルのルートキット」やその他の「低い特権レベルの脅威」を作成することにはデメリットも存在します。
長所
- システムリソースへの高特権アクセスを得ることができる
- デバイス上の不正攻撃を隠蔽することにより検知や対処を困難にする
- システム上のフィルタリングプロセスにより、攻撃者の生成ファイルやツールなどが排除されることを回避できる
- 検知を回避することが可能なステルス攻撃を長時間実行することができる
- ウイルス対策製品からの信頼を得ることができる
- 複数のアプリケーション(ユーザモード)に影響を及ぼすコアサービスのデータフローを改ざんすることができる
- 攻撃を妨げるセキュリティ製品を改ざんすることができる
- 検出率が非常に低くなる(最新のルートキットの多くは長期間にわたって検出されないままの状態)
短所
- カーネルレベルの脅威を開発する際に大きなコストが掛かる
- カーネルルートキットの開発及び実装は、他のアプリケーション(ユーザモード)のマルウェアと比較して困難であり、必ずしも理想的な脅威とはならない
- カーネルルートキットの開発には、対象となるOSの内部コンポーネントを理解し、システムコンポーネントのリバースエンジニアリングに関して十分な知識や能力を持つ技術者が必要となる
- カーネルルートキットはエラーに敏感なため、カーネルモジュールのコードバグによりシステムがクラッシュし、BSOD(Blue Screen Of Death)が発生した場合、不正操作の全体像が判明してしまう可能性がある
- カーネルモードコンポーネントの導入は、被害者のセキュリティメカニズムがすでに有効でない場合や、より容易な手法でダウンさせることができる場合、返って攻撃を複雑化させてしまう恐れがある
「カーネルの脅威」の広がり
トレンドマイクロは、「カーネルドライバコンポーネントに完全に依存している」もしくは「カーネル空間で実行される攻撃チェーンにモジュールが少なくとも1つある」脅威を分析しました。なお、これらの脅威は、2015年4月から2022年10月の間に報告されたものであり、Proof of Concept(概念実証)は含まれません。収集したカーネルレベルに関連する脅威データの全ての分析結果は、リサーチペーパー 「攻撃者が悪用するWindowsカーネルに対する脅威の分析」に掲載されています。
トレンドマイクロにおける研究では、観測したテクニックに基づいてカーネルレベルの脅威を3つのクラスタに分類しました。
第1クラスタ:KMCS(Kernel Mode Code Signing)ポリシーを回避する脅威
第2クラスタ:正規のドライバ作成技術を用いたKMCSに準拠する脅威
第3クラスタ:より低い抽象化レイヤーにシフトする脅威
公開されているレポートをもとにしたトレンドマイクロの観測によると、過去7年間のカーネルレベルの脅威に関する注目すべき脅威・イベントの数は、2018年以降着実に増加傾向を示しています。
/a-closer-look-at-windows-kernel-threats/Figure1.png)
現在、Windows カーネルの脅威は、依然として第1クラスタに最も多く属しています。このクラスタに属する脅威の数は、Windows 10 で導入された新規の「ハイパーバイザー」を基にした防御策が普及するまで増加すると予想されています。そして、その防御策の採用率が高まると、第1クラスタの脅威の数は大幅に減少すると予想されています。
/a-closer-look-at-windows-kernel-threats/Figure2.png)
なお、データによると第2、第3クラスタに分類される脅威の数は、過去3年間で増加傾向にあります。
/a-closer-look-at-windows-kernel-threats/Figure3.png)
第2クラスタの脅威は、開発コストが高くなるため検出数は多くはありません。また、第2クラスタの脅威は過去5年間増加していましたが、Windows 10及び11のKMCS(カーネル・モード・コード・サイニング)ポリシーの影響により今後は減少し、最終的には脅威がなくなると予想されています。第3クラスタの脅威は、その「複雑さ」から最も検出頻度が低くなっています。なお、今後数年間は第3クラスタの脅威が徐々に増加すると考えられます。これは、攻撃者が最新のセキュリティ対策を回避するために、最初の感染ポイントをプロセスのより早い段階にシフトするためです。
トレンドマイクロは、これらの脅威を具体的なユースケースに基づいて分類しています。
/a-closer-look-at-windows-kernel-threats/Figure4.png)
トレンドマイクロの分析によると、APTスパイマルウェアは、その攻撃においてカーネルレベルのコンポーネントを最も多く使用していました。APTグループは、ステルスコンポーネント(カーネルルートキットや低レベルのインプラント等)を攻撃時に使用するためのリソースを有しています。
また、ランサムウェアや暗号資産マイナー等の脅威は、攻撃においてカーネルレベルのコンポーネントを多く使用しています。これらの攻撃は、不正なペイロードを作成して被害者のマシンからリソースを盗む際に、セキュリティ製品による検出を回避することが可能であると考えられています。
まとめ
カーネルレベルの脅威データの分析によると、熟練した攻撃者は今後も、Windows OSへの高特権アクセスを求め攻撃を継続していくと予想されます。EPP(Endpoint Protection Platform)及びEDR(Endpoint Detection and Response)技術の有効性から、攻撃者は最も検知されにくい経路を辿り、カーネルもしくは不正なコードを実行させていくでしょう。以上から、3つのクラスタに属する脅威の一部は大幅に減少するものの、これらの脅威が完全に消滅することはないと予想されます。
Windowsカーネル脅威に関するより詳しい分析は、リサーチペーパー「攻撃者が悪用するWindowsカーネルに対する脅威の分析」をご参照ください。
/a-closer-look-at-windows-kernel-threats/img-m600-an-in-depth-look-at-windows-kernel-threats.png)
参考記事
A Closer Look at Windows Kernel Threats
By: Sherif Magdy, Mahmoud Zohdy
翻訳:新井 智士(Core Technology Marketing, Trend Micro™ Research)