EDRソリューション、脅威グループの一般攻撃を検知できないことが判明:各ベンダー検知一覧

news

ギリシャの研究者チームが、サイバーセキュリティ企業18社のエンドポイント検出・応答(EDR)ソフトウェアをテストした結果、多くのEDRが国が支援するスパイグループやランサムウェアグループなどの高度な脅威グループが使用する最も一般的な攻撃手法の一部を検出できないことがわかりました。

An Empirical Assessment of Endpoint Detection and Response Systems against Advanced Persistent Threats Attack Vectors
Advanced persistent threats pose a significant challenge for blue teams as they apply various attacks over prolonged per...

ギリシャのアテネにあるピレウス大学の研究者であるGeorge KarantzasとConstantinos Patsakisは

最先端のEDRは、今回報告された攻撃の大部分を防ぐことも記録することもできないため、まだまだ改善の余地があることがわかりました

と述べています。

典型的な攻撃シナリオ

この研究は、昨年発表された論文「An Empirical Assessment of Endpoint Detection and Response Systems against Advanced Persistent Threats Attack Vectors」に詳述されています。

EDRソフトウェアは、従来のアンチウイルスプログラムを進化させたもので、静的解析と動的解析の両方の手法を用いてマルウェアを検知するだけでなく、エンドポイントからのデータを監視、収集、集約することで、正規のアプリを悪用して攻撃を行うなど、よりステルス性の高い技術に依存した悪意のある行動を検知しようとするものです。

現在EDRは、静的なファイル署名ルールから高度な機械学習モジュールまであらゆるものを組み合わせており、セキュリティソフトウェアに関しての頂点に位置すると考えられています。

しかし、完璧ではありません。

Karantzas氏とPatsakis氏の研究では、APTの一般的なキルチェーンを模した様々な単純な攻撃に対して、現在の大手企業のEDRがどのように機能しているかを調査しました。

この研究では、期限切れの成熟したドメインを使用し、Let’s Encrypt SSL証明書でドメインを保護。攻撃によく使用される以下の4種類のマルウェアファイルを配置しました。

  • Windowsコントロールパネルのショートカットファイル(.cpl)
  • Microsoft Teams の正規のインストーラー (悪意のある DLL をロード)
  • 署名されていないポータブル実行可能ファイル (EXE)
  • HTMLアプリケーション(HTA)ファイル

これら4つのファイルが実行されると、いずれも正規の機能を悪用してバックドア「Cobalt Strike Beacon」を読み込んで実行します。

この攻撃チェーンの背景には、これら4つのファイルとBeaconバックドアはスピアフィッシングメール攻撃の一環として被害者に送信される通常のペイロードであり、企業ネットワーク内に配備されているEDRは、検出・ブロック・または少なくともセキュリティチームに警告を発することが期待されているという考えがあります。

テストしたEDRと結果

調査チームは、これらの攻撃を、Bitdefender、Carbon Black、Check Point、Cisco、Comodo、CrowdStrike、Elastic、ESET、F-Secure、Fortinet、Kaspersky、McAfee、Microsoft、Panda Security、Sentinel One、Sophos、Symantec、Trend Microの各EDRソフトウェアに対してテストしました。

結果は以下の表のとおりです。

この結果からテストしたEDRのうち、すべての攻撃ベクトルを完全にカバーしているものはなく、脅威グループが企業の防御をすり抜けることが可能であることがわかりました。

研究チームは、この結果を受け、攻撃者がEDRの電源を切ったり、少なくとも遠隔測定機能を無効にしたりすることで、感染したシステム上で何が起こっているかを防御側が気づかないようにし、脅威のある者がローカルネットワーク上でさらなる攻撃を準備できるようになるとコメントしています。

しかし、すべてのEDRがこの実験に参加したわけではありません。

昨年、Huntress Labs社のシニアセキュリティであるJohn Hammond氏のYouTubeチャンネルのVlogに登場した研究者たちは、すべてのEDRベンダーがテストのために製品を公開することに同意したわけではなく、テストした18製品の中にも、SOCやCERTチームなどの仲介者の助けを借りて行われたものもあったと述べています。

しかしKarantzasとPatsakisは、彼らの調査が公開されると、いくつかのベンダーが連絡を取ってきて、製品を改善する方法について問い合わせてきたと述べています。

記事は公開後すぐに更新され、当初の11種類に加え、さらに7種類のEDRを分析した拡張版の調査結果が掲載されています。

Comments

Copied title and URL