Elasticsearchは2024年8月6日(米国時間)、「Dismantling Smart App Control — Elastic Security Labs」において、Microsoftが提供するSmart App ControlおよびSmartScreenなどのレピュテーション保護には弱点が存在し、バイパスできるとしてその手法と保護方法を解説した。
レピュテーション保護の弱点
Elasticsearchの調査に基づくレピュテーション保護のバイパス手法の概要は次のとおり。
署名されたマルウェア
Smart App Controlは未知のアプリの安全性を署名の正当性で確認する。つまり、署名のあるマルウェアは検出を回避できる。Elasticsearchの調査によると、サイバー犯罪者は企業になりすまして証明書を購入する方法を発見しており、100を超える固有の証明書が悪用されているという。
評判の乗っ取り
レピュテーション保護の評判に基づくブロックを回避するため、攻撃者は評判の良いアプリを悪用することがある。具体的にはLua、Node.js、AutoHotkeyなどのインタープリター言語を使用する。インタープリター言語で記述されたマルウェアは、その言語の実行環境で動作することになるため検出されない。特にFFI(Foreign function interface)と呼ばれる機能を持つ言語は、コードやマルウェアをメモリ上で実行できるため、理想的な標的とされる。
評判の種まき
評判に基づくブロックを回避する別の方法として、悪評のもとになる動作を隠す手法がある。具体的には新しいインタープリター言語の開発、既知の脆弱性を持つアプリの悪用、悪意のある処理を時限式に作動させる方法などがある。
Elasticsearchは検証のため、悪用可能なアプリを新しく開発して実験している。このアプリは設定ファイルに記載された外部アプリを起動するだけの単純なアプリで、初期設定では電卓アプリを起動する無害な状態にしている。
その状態のまま2時間経過すると、Smart App Controlから良好なラベルがつけられたという。Elasticsearchは設定を変更してcmd.exeを起動するようにし、実行に成功する様子を動画にて公開している。
評判の改ざん
安全と評価された既存のアプリを改ざんする。レピュテーション保護はコードの改ざんを検出するためハッシュ情報を使用する。しかしながら、一部のコードセクションはハッシュ情報に含まれないため、その部分を変更しても検出されることはない。
LNKストンピング
WindowsではインターネットからダウンロードしたファイルにMoTWマーク(MoTW: Mark-of-the-Web)を付ける。MoTWマークを持つファイルは潜在的に安全ではないためSmartScreenのスキャン対象となり、一部のファイルタイプはSmart App Controlによりブロックされる。
攻撃者はこれら保護を回避するためLNKファイルを使用する。特別に細工されたLNKファイルを使用するとMoTWマークが削除され、目的のアプリを実行できるようになる。
対策
Elasticsearchはこれら弱点を修正し、攻撃を回避する方法として次のような対策の実施を提案している。
- 評判の乗っ取り対策として、悪用可能なアプリ一覧を作成してブロックする
- 悪用可能なアプリを確実に検出するため、これらアプリ特有のシグネチャを抽出する
- エクスプローラーによるLNKファイルの上書きを検出してブロックする
レピュテーション保護は外部からの侵害に強力な保護層となる。しかしながら、回避手法も複数発見されており、レピュテーション保護自体を保護することが求められている。Elasticsearchはこの領域における保護をオペレーティングシステム標準のセキュリティ機能だけに頼るべきではないとして、追加の対策を推奨している。