尊重:Windows10のセキュリティはハッカーを感動させる

Windowsが人気のある攻撃ターゲットであり続ける限り、研究者やハッカーは、Microsoftの防御を覆すための高度な戦略を明らかにするために、プラットフォームを強打し続けます。

マイクロソフトがWindows10に複数の高度な緩和策を追加し、攻撃のクラス全体を排除したため、セキュリティの基準は以前よりもはるかに高くなっています。今年のBlackHat会議のハッカーは高度なエクスプロイト手法を備えていましたが、Windows 10では成功する手法の開発がはるかに困難であるという暗黙の了解がありました。OSの脆弱性を介してWindowsに侵入することは、数年前よりも困難です。

組み込みのマルウェア対策ツールを使用する

マイクロソフトは、メモリ内の悪意のあるスクリプトをキャッチできるマルウェア対策スキャンインターフェイス(AMSI)ツールを開発しました。ペネトレーションテスターであり、NoSoSecureのアソシエートコンサルタントであるNikhal Mittal氏は、Black Hatセッションの参加者に対して、どのアプリケーションでもそれを呼び出すことができ、登録済みのマルウェア対策エンジンはAMSIに送信されたコンテンツを処理できると述べています。Windows DefenderとAVGは現在AMSIを使用しており、より広く採用されるようになるはずです。

「AMSIは、Windowsでのスクリプトベースの攻撃をブロックするための大きな一歩です」とMittal氏は述べています。

サイバー犯罪者は、キャンペーンの一環として、スクリプトベースの攻撃、特にPowerShellで実行される攻撃にますます依存しています。PowerShellを使用して攻撃を発見することは、正当な動作と区別するのが難しいため、組織にとって困難です。また、PowerShellスクリプトを使用してシステムまたはネットワークのあらゆる側面にアクセスできるため、回復も困難です。事実上すべてのWindowsシステムにPowerShellがプリロードされているため、スクリプトベースの攻撃がはるかに一般的になっています。

犯罪者はPowerShellを使用し、メモリにスクリプトをロードし始めましたが、防御側が追いつくのにしばらく時間がかかりました。「数年前まで、PowerShellを気にする人はいませんでした」とMittal氏は述べています。「私たちのスクリプトはまったく検出されていません。ウイルス対策ベンダーは、過去3年間でそれを採用しました。」

ディスクに保存されたスクリプトを検出するのは簡単ですが、メモリに保存されたスクリプトの実行を停止するのはそれほど簡単ではありません。AMSIはホストレベルでスクリプトをキャッチしようとします。つまり、入力方法(ディスクに保存するか、メモリに保存するか、インタラクティブに起動するか)は重要ではなく、Mittal氏が述べたように「ゲームチェンジャー」になります。

ただし、AMSIは、他のセキュリティ方法に依存しているため、スタンドアロンにすることはできません。スクリプトベースの攻撃をログを生成せずに実行することは非常に難しいため、Windows管理者がPowerShellログを定期的に監視することが重要です。

AMSIは完全ではありません。難読化されたスクリプトや、WMI名前空間、レジストリキー、イベントログなどの異常な場所から読み込まれたスクリプトを検出することはあまり役に立ちません。powershell.exe(ネットワークポリシーサーバーなどのツール)を使用せずに実行されたPowerShellスクリプトも、AMSIを作動させる可能性があります。スクリプトの署名を変更する、PowerShellバージョン2を使用する、AMSIを無効にするなど、AMSIをバイパスする方法があります。それでも、ミッタルはAMSIを「Windows管理の未来」と見なしています。

そのActiveDirectoryを保護する

Active DirectoryはWindows管理の基礎であり、組織がワークロードをクラウドに移行し続けるにつれて、ActiveDirectoryはさらに重要なコンポーネントになりつつあります。ADは、オンプレミスの内部企業ネットワークの認証と管理の処理に使用されなくなり、MicrosoftAzureでのIDと認証を支援できるようになりました。

Windows管理者、セキュリティの専門家、攻撃者はすべてActive Directoryについて異なる見方をしていると、MicrosoftのActiveDirectory認定マスターでセキュリティ会社Trimarcの創設者であるSeanMetcalfはBlackHatの参加者に語った。管理者にとって、焦点は稼働時間と、ADが妥当なウィンドウ内でクエリに応答することを保証することにあります。セキュリティの専門家は、ドメイン管理者グループのメンバーシップを監視し、ソフトウェアの更新についていく。攻撃者は、企業のセキュリティ体制を調べて弱点を見つけます。メットカルフ氏によると、どのグループも全体像を把握しているわけではないという。

メットカルフ氏は講演の中で、認証されたすべてのユーザーは、Active Directory内のすべてではないにしても、ほとんどのオブジェクトと属性への読み取りアクセス権を持っていると語った。標準のユーザーアカウントは、ドメインにリンクされたグループポリシーオブジェクトと組織単位に対する変更権限が不適切に付与されているため、ActiveDirectoryドメイン全体を危険にさらす可能性があります。メットカルフ氏によると、カスタムOU権限を介して、昇格された権限なしでユーザーとグループを変更したり、ADユーザーアカウントオブジェクト属性であるSID履歴を調べて昇格された権限を取得したりできます。

Active Directoryが保護されていない場合、ADの侵害がさらに発生する可能性が高くなります。

Metcalfは、企業がよくある間違いを回避するのに役立つ戦略を概説しました。それは、管理者の資格情報を保護し、重要なリソースを分離することに要約されます。ソフトウェアの更新、特に特権昇格の脆弱性に対処するパッチを常に把握し、ネットワークをセグメント化して、攻撃者が横方向に移動しにくくします。

セキュリティの専門家は、ADと仮想ドメインコントローラーをホストする仮想環境の管理者権限を持つユーザー、およびドメインコントローラーにログオンできるユーザーを特定する必要があります。Active Directoryドメイン、AdminSDHolderオブジェクト、およびグループポリシーオブジェクト(GPO)をスキャンして不適切なカスタムアクセス許可を確認し、ドメイン管理者(AD管理者)が機密性の高い資格情報を使用してワークステーションなどの信頼できないシステムにログインしないようにする必要があります。サービスアカウントの権利も制限する必要があります。

メットカルフ氏によると、ADのセキュリティを正しく取得すれば、多くの一般的な攻撃が軽減されるか、効果が低下するという。

攻撃を封じ込めるための仮想化

マイクロソフトは、ハイパーバイザーに組み込まれた一連のセキュリティ機能である仮想化ベースのセキュリティ(VBS)をWindows 10に導入しました。VBSの攻撃面は、他の仮想化実装の攻撃面とは異なります、とBromiumのチーフセキュリティアーキテクトであるRafalWojtczukは述べています。

「範囲が限られているにもかかわらず、VBSは便利です。VBSがないと簡単な特定の攻撃を防ぎます」とWojtczuk氏は述べています。

Hyper-Vはルートパーティションを制御し、追加の制限を実装して安全なサービスを提供できます。 VBSが有効になっている場合、Hyper-Vは、セキュリティコマンドを実行するための高い信頼レベルを持つ専用の仮想マシンを作成します。他のVMとは異なり、この専用マシンはルートパーティションから保護されています。 Windows 10は、ユーザーモードのバイナリとスクリプトのコード整合性を強制でき、VBSはカーネルモードのコードを処理します。 VBSは、カーネルが侵害された場合でも、署名されていないコードがカーネルコンテキストで実行されないように設計されています。基本的に、特別なVMで実行されている信頼できるコードは、署名されたコードを格納しているページにルートパーティションの拡張ページテーブル(EPT)で実行権を付与します。ページを同時に書き込み可能と実行可能の両方にすることはできないため、マルウェアはその方法でカーネルモードに入ることができません。

コンセプト全体は、ルートパーティションが侵害された場合でも続行できるかどうかにかかっているため、Wojtczukは、すでにルートパーティションに侵入している攻撃者の観点からVPSを調査しました。たとえば、攻撃者がセキュアブートをバイパスしてロードする場合などです。トロイの木馬化されたハイパーバイザー。

「VBSのセキュリティ体制は良好に見え、システムのセキュリティが向上します。確かに、バイパスを可能にする適切な脆弱性を見つけるには、非常に重要な追加の努力が必要です」とWojtczukは添付のホワイトペーパーに書いています。

既存のドキュメントでは、セキュアブートが必要であり、VBSを有効にするためにVTdとトラステッドプラットフォームモジュール(TPM)はオプションであると示唆されていますが、そうではありません。管理者は、侵害されたルートパーティションからハイパーバイザーを保護するために、VTdとTPMの両方を持っている必要があります。VBSでは、CredentialGuardを有効にするだけでは不十分です。資格情報がルートパーティションのクリアに表示されないようにするための追加の構成が必要です。

MicrosoftはVBSを可能な限り安全にするために多大な努力を払ってきたが、異常な攻撃対象領域は依然として懸念の原因であるとWojtczuk氏は述べた。

セキュリティバーは高いです

犯罪者、研究者、ハッカーなど、自分たちに何ができるかを知りたいと考えているブレーカーは、マイクロソフトと精巧なダンスを繰り広げています。ブレーカーがWindowsの防御を回避する方法を見つけるとすぐに、Microsoftはセキュリティホールを閉じます。マイクロソフトは、革新的なセキュリティテクノロジーを実装して攻撃を困難にすることで、ブレーカーに攻撃を回避するためにさらに深く掘り下げさせます。これらの新機能のおかげで、Windows10はこれまでで最も安全なWindowsです。

犯罪要素は仕事で忙しく、マルウェアの惨劇はすぐに減速する兆候を示していませんが、最近のほとんどの攻撃は、パッチが適用されていないソフトウェア、ソーシャルエンジニアリング、または設定ミスの結果であることに注意してください。完全にバグのないソフトウェアアプリケーションはありませんが、組み込みの防御によって既存の弱点を悪用することが難しくなる場合、それは防御側にとっての勝利です。マイクロソフトは過去数年間、オペレーティングシステムへの攻撃をブロックするために多くのことを行ってきましたが、Windows10はこれらの変更の直接の恩恵を受けています。

マイクロソフトがWindows10 Anniversary Updateで分離テクノロジを強化したことを考えると、最新のWindowsシステムをうまく活用するための道はさらに困難に見えます。