このブログ記事は、Enterprise Protection and Detection 部門のシニア ソフトウェア エンジニアである Aditya Joshi との共同執筆によるものです。
検出を避けるために攻撃者がより気付かれにくい方法を利用することがますます増えています。ファイルレス攻撃では、ソフトウェアの脆弱性が悪用され、悪意のあるペイロードが正常なシステム プロセスに挿入されて、メモリに格納されます。これらの手法によって、ディスクでのマルウェアの痕跡が最小化または排除され、ディスクベースのマルウェア スキャン ソリューションによって検出される可能性が大幅に減少します。
この脅威に対抗するために、2018 年 10 月に Azure Security Center で Windows 向けのファイルレス攻撃の検出がリリースされました。2018 年のブログ記事では、Windows でのシェルコード、コード インジェクション、ペイロードの難読化手法、その他のファイルレス攻撃の動作を Security Center で検出する方法について説明しています。Microsoft の調査では、Linux のワークロードに対するファイルレス攻撃の増加も示されています。
本日、Azure Security Center で Linux でのファイルレス攻撃の検出がプレビューになったことをお知らせいたします。 この記事では、Linux での実際のファイルレス攻撃について説明し、ファイルレス攻撃の検出機能を紹介し、プレビューへのオンボードに関する説明を示します。
Linux での実際のファイルレス攻撃
よく見られるパターンの 1 つでは、攻撃者がディスク上のパッキングされたマルウェアからペイロードをメモリに挿入し、ディスクから元の悪意のあるファイルを削除します。以下は最近の例です。
- 攻撃者が、ウェルノウン ポート (8088) で実行されているサービスを特定して Hadoop クラスターを感染させ、Hadoop YARN での認証されていないリモート コマンド実行のサポートを使用して、コンピューターでランタイム アクセスを実現します。サブスクリプションの所有者は、Security Center JIT を構成することで、攻撃のこの段階を軽減できる可能性があったことに留意してください。
- 攻撃者が、パッキングされたマルウェアを含むファイルを一時ディレクトリにコピーして起動します。
- 悪意のあるプロセスによって、シェルコードを使用したファイルのアンパッキングが行われ、プロセスの独自のメモリ領域にメモリの新しい動的実行可能領域が割り当てられて、新しいメモリ領域に実行可能なペイロードが挿入されます。
- 次に、マルウェアによって、挿入された ELF エントリ ポイントへ実行が転送されます。
- 悪意のあるプロセスによって、痕跡を隠すために元のパッキングされたマルウェアがディスクから削除されます。
- 挿入された ELF ペイロードには、受信 TCP 接続をリッスンし、攻撃者の指示を送信するシェルコードが含まれています。
この攻撃は、スキャナーで検出するのが困難です。ペイロードは、難読化を重ねることで見つけられないようになっていて、ディスクに存在しているのは短時間です。 ファイルレス攻撃の検出のプレビューを利用すると、Security Center で、これらの種類のペイロードをメモリ内で識別して、ペイロードの機能をユーザーに通知できるようになります。
ファイルレス攻撃の検出機能
Windows 向けのファイルレス攻撃の検出と同様に、この機能では、すべてのプロセスのメモリでファイルレスのツールキット、手法、および動作の証拠がスキャンされます。プレビューの間に、ユーザーランド マルウェアの以下の動作を検出するために、分析の有効化と改善が行われます。
- よく知られているツールキットとクリプト マイニング ソフトウェア。
- プロセス メモリの実行可能領域内のシェルコード、挿入された ELF 実行可能ファイル、悪意のあるコード。
- 悪意のあるライブラリが事前に読み込まれる LD_PRELOAD ベースのルートキット。
- root 以外から root へのプロセスの特権の昇格。
- ptrace を使用した別のプロセスのリモート制御。
検出された場合、[セキュリティのアラート] ページにアラートが表示されます。アラートには、使用されている手法の種類、プロセスのメタデータ、ネットワーク アクティビティなどの補足情報が含まれています。これにより、アナリストは、マルウェアの性質をより深く理解し、各種の攻撃を区別し、修復手順を選択するときにより多くの情報に基づいて決定を行うことができます。
スキャンは非侵入的で、システム上の他のプロセスには影響しません。 スキャンの大部分の実行時間は 5 秒未満です。メモリの分析はすべてホスト自体で実行されるため、この処置全体でデータのプライバシーが保護されます。スキャンの結果には、セキュリティ関連のメタデータと疑わしいペイロードの詳細のみが含まれています。
使用を開始するには
この特定のプレビューまたは継続的なプレビュー プログラムにサインアップするには、"ファイルレス攻撃の検出のプレビュー" にご興味があることを表明してください。
オンボードすることを選択すると、この機能が Linux 用 Log Analytics エージェント (OMS エージェントとも呼ばれます) の拡張機能として Linux コンピューターに自動的にデプロイされます (エージェントでサポートされている Linux OS のディストリビューションはこのドキュメントに記載されています)。このソリューションでは、Azure、クラウド間、オンプレミスの環境がサポートされています。この機能を利用するには、参加者は Standard または Standard Trial 価格レベルに登録している必要があります。
Azure Security Center の詳細については、Azure Security Center のページをご覧ください。