サイバーニュース.jp

世界のサイバーなニュースを配信

EDR-Freeze:その技術的メカニズムとフォレンジックアーティファクトを解明

カテゴリ:

, , , , , , , , ,

EDR-Freezeの概要

「EDR-Freeze」は、エンドポイント検出応答(EDR)やアンチウイルスプロセスを一時的に「昏睡状態」に陥れる概念実証(PoC)ツールです。このツールは、脆弱なドライバーをインストールする代わりに、Windowsの正規のエラー報告コンポーネント、特にWerFaultSecure.exeMiniDumpWriteDump APIを悪用し、ユーザーモードからセキュリティプロセスを一時停止させます。EDR-Freezeは、スレッドの競合を巧みに利用することで、ターゲットプロセスのすべてのワーカースレッドを一時停止させ、テレメトリを停止させながらもプロセス自体は稼働状態に保ちます。設定可能な遅延時間の後、プロセスは通常通り再開され、多くの場合、アラームを鳴らすことなく動作します。

フリーズ手順の仕組み

攻撃は、EDR-Freeze_1.0.exeがWindowsエラー報告の傘下でWerFaultSecure.exeを起動するところから始まります。WerFaultSecure.exeはdbghelp.dllをロードし、MiniDumpWriteDumpを呼び出します。通常はクラッシュダンプの書き込みに使用されるこのAPIは、ダンプ作成中にターゲットプロセスのすべてのスレッドを一時停止させます。ヘルパープロセスは、ターゲットのスレッドに直接ハンドルを渡すことで、MsMpEng.exe(Windows Defender)などのセキュリティエンジンを一時停止させ、後に再開させます。Process Explorerでは、WerFaultSecure.exeとMsMpEng.exeの両方が「一時停止」として表示されます。この組み込みコンポーネントの利用により、この手法はステルス性が高く、多くのエンドポイント防御を回避できます。

制御されたメモリキャプチャは、フリーズの明確な兆候を示します。MemProcFSを使用すると、3つのMsMpEng.exeスレッド(TID 764、4244、7980)が08:35:08から08:35:31の間に一時停止したタイムスタンプを示し、その後08:35:41にWerFaultSecure.exeスレッドが一時停止します。これらの時間的に一致したイベントは、ヘルパープロセスが一時停止を主導したことを裏付けています。Volatilityのwindows.handlesプラグインは、WerFaultSecure.exeがMsMpEng.exeに対してアクセス権マスク0x18C4AのPROCESS_SUSPEND_RESUMEハンドルを開き、複数のスレッドに対してTHREAD_ALL_ACCESSを開いたことをさらに明らかにしています。これらのハンドルは、正確なスレッドの一時停止と再開操作を可能にします。

フォレンジックアーティファクト

実行中、両プロセスはユーザーのデスクトップフォルダにあるt.txtというファイルに一時的にファイルハンドルを開きます。この一時ファイルは、エンコードされたダンプデータを渡すために使用され、その後削除されます。これは本質的に悪意のあるものではありませんが、貴重なフォレンジックの証拠となります。WerFaultSecure.exeのインポートアドレステーブル(IAT)を調べると、dbghelp.dllからのMiniDumpWriteDumpの静的インポートが確認できます。このインポートは、ヘルパーバイナリがミニダンプをトリガーし、それによってオンデマンドでスレッドを一時停止できることの証拠です。

調査官は、t.txtとそのタイムスタンプの残骸、およびMiniDumpWriteDumpの使用を示すIATエントリを保存する必要があります。WerFaultSecure.exeをターゲットとする静的YARAルールは、「/pid」、「/tid」、「/encfile」、「/cancel」などの主要なコマンドラインフラグ、およびCreateFileW、CreateEventW、MiniDumpWriteDumpのインポートの存在を検出できます。テストでは、これらのルールはヘルパーと一時停止されたMsMpEng.exeスレッドの両方を特定し、クリーンなイメージではヒットしませんでした。これらのルールをエンドポイントハンティングワークフローに組み込むことで、テレメトリが抑制されている場合でもEDR-Freezeのアクティビティを検出できます。

防御策と今後の課題

EDR-Freezeは、攻撃者がカーネルエクスプロイトなしに、信頼されたOSコンポーネントを武器化してセキュリティツールを無効にできることを示しています。プロセスを可逆的な昏睡状態に陥れることで、攻撃者は重要なフェーズでステルス性を獲得します。防御側は、インシデント対応中にセキュリティ制御の継続的な可視性を確保するために、メモリフォレンジックと行動ベースのハンティングに調査を拡大し、このような一時的な一時停止を検出する必要があります。

元記事: https://gbhackers.com/edr-freeze-technical-mechanics-exposed/

投稿をさらに読み込む