特殊なSMBサーバー使用しマルウェア検出を避ける攻撃「Illusion Gap」
2017年10月1日 21:21
攻撃用に細工したSMBサーバーを用い、Windowsのアンチウイルスプログラムによるマルウェア検出を避けるという攻撃手法「Illusion Gap」について、セキュリティ企業CyberArkが解説している(CyberArkのブログ記事、Neowinの記事、Bleeping Computerの記事、The Registerの記事)。 アンチウイルスプログラムがインストールされたWindows環境でSMBサーバー上の実行ファイルを実行する場合、アンチウイルスプログラムによる安全確認後、Windowsローダーが実行ファイルを起動する。SMBサーバー側ではファイルのリクエストがアンチウイルスプログラムからのものか、Windowsローダーからのものかを識別できるため、前者では安全なファイルを返し、後者で悪意あるファイルを返すことでウイルススキャンをバイパスしてマルウェアを実行させることができるという。 CyberArkではWindows Defenderでスキャンのバイパスができることを確認しているが、他のアンチウイルスプログラムでも同様な動作になる可能性が高いとしている。また、Windows Defenderではスキャンするファイルのハンドル取得が失敗するとそのままファイルが実行されるため、故意にリクエストをブロックすることでマルウェアを実行させることも可能とのこと。なお、ブログ記事は「Part 1」となっており、他にもアンチウイルスプログラムをバイパスする手法があるようだ。 CyberArkの報告に対しMicrosoftでは、カスタムSMBサーバーによる信頼できない共有ファイルをユーザーが信頼して実行する必要があることから、(Windows側の修正が必要な)セキュリティの問題ではないと説明。機能のリクエストとしてエンジニアリンググループに転送しておくと回答したそうだ。