特殊なSMBサーバー使用しマルウェア検出を避ける攻撃「Illusion Gap」

攻撃用に細工したSMBサーバーを用い、Windowsのアンチウイルスプログラムによるマルウェア検出を避けるという攻撃手法「Illusion Gap」について、セキュリティ企業CyberArkが解説している(CyberArkのブログ記事、Neowinの記事、Bleeping Computerの記事、The Registerの記事)。

アンチウイルスプログラムがインストールされたWindows環境でSMBサーバー上の実行ファイルを実行する場合、アンチウイルスプログラムによる安全確認後、Windowsローダーが実行ファイルを起動する。SMBサーバー側ではファイルのリクエストがアンチウイルスプログラムからのものか、Windowsローダーからのものかを識別できるため、前者では安全なファイルを返し、後者で悪意あるファイルを返すことでウイルススキャンをバイパスしてマルウェアを実行させることができるという。
CyberArkではWindows Defenderでスキャンのバイパスができることを確認しているが、他のアンチウイルスプログラムでも同様な動作になる可能性が高いとしている。また、Windows Defenderではスキャンするファイルのハンドル取得が失敗するとそのままファイルが実行されるため、故意にリクエストをブロックすることでマルウェアを実行させることも可能とのこと。なお、ブログ記事は「Part 1」となっており、他にもアンチウイルスプログラムをバイパスする手法があるようだ。

CyberArkの報告に対しMicrosoftでは、カスタムSMBサーバーによる信頼できない共有ファイルをユーザーが信頼して実行する必要があることから、(Windows側の修正が必要な)セキュリティの問題ではないと説明。機能のリクエストとしてエンジニアリンググループに転送しておくと回答したそうだ。

　スラドのコメントを読む | セキュリティセクション | セキュリティ | Windows

　関連ストーリー：
Microsoft、Windows 10の次期大型アップデートでSMBv1を無効化する計画 2017年06月22日
WindowsのSCFファイルをGoogle Chromeでダウンロードさせ、SMB認証情報を取得する攻撃 2017年05月21日
Microsoft、Windows XPのセキュリティ更新プログラムを公開 2017年05月14日
Windowsをクラッシュさせるゼロデイ・エクスプロイトコードがGitHubで公開 2017年02月10日
「Badlock」脆弱性の詳細が公開、誇大広告として批判される 2016年04月16日