Windows Defender ATP でクロスプロセス インジェクションを発見する

Windows Defender Advanced Threat Protection (Windows Defender ATP) は、企業のセキュリティ運用 (SecOps) 部門の要員に悪意のあるアクティビティについて知らせる、侵入した脅威に対するソリューションです。SecOps 要員による攻撃の発見と対応を引き続き支援できるよう、攻撃の本質の変化と合わせて Windows Defender ATP も進化する必要があります。


お客様のセキュリティに対するマイクロソフトの約束

Windows は、報告されたセキュリティに関する問題を迅速に調査し、影響を受けるデバイスをプロアクティブにできる限り早くアップデートすることをお客様に確約している唯一のプラットフォームです。マイクロソフトはこの責任を大変真剣に受け止めています。


組織に対する標的型攻撃を緩和する

本記事は、Microsoft Trustworthy Computing のブログ “Mitigating Targeted Attacks on Your Organization” (2012年 12 月 12 日公開) を翻訳した記事です。 Trustworthy Computing (信頼できるコンピューティング)、ディレクター、Tim Rains (ティム・レインズ) 筆者がこの数年間に話をしたことのある CISO (情報セキュリティ最高責任者) やセキュリティ関連業務担当役員のほぼ全員が、“APT” (Advanced Persistent Threats: 高度で執拗な脅威) 型の攻撃によってもたらされるリスクをより緩和するために、自社のセキュリティ態勢を向上させる方法を学ぶことに関心を示していました。マイクロソフトでは、APT という用語を使用しません。こうした攻撃では通常、古典的でよく知られた手法とテクノロジを使用しており、本当の意味で「高度」ではないからです。 たとえば攻撃者が通常よく行うことの 1 つに侵害したネットワークからユーザー名とパスワードを盗み出すというものがあります。これにより、攻撃者はより多くのリソースにアクセスし、可能な限り長く検出されずにネットワークにとどまることができてしまいます。攻撃者が一般的に使用するある種の攻撃は、“pass-the-hash” (ハッシュ化された資格情報を悪用した攻撃) と呼ばれています。攻撃者は脆弱化したネットワークからユーザー名とパスワードのハッシュバージョン (一方向の数学的変換を行った後の表現形式) を盗み出し、それらの資格情報を使用することでネットワークのリソースやデータにアクセスできるようになります。この分野では何年にもわたって多大な研究とツールの開発が行われてきており、その結果攻撃者は pass-the-hash や他の資格情報の窃取と再使用による攻撃を、より簡単に行えるようになりました。 マイクロソフトは今日、組織がこの種の攻撃を緩和するのに役立つ、実地テスト済みガイダンスを掲載した新しいホワイトペーパーをリリースしました。お客様の IT 部門が容易に実施できるように、このホワイトペーパーではこれらの緩和策を、有効性や実施に要する作業などに基づいて評価しています。 レポートのダウンロード (英語情報) 部門とベンダーがお客様のネットワークのセキュリティ態勢を向上させて標的型攻撃からお客様を守ることができるように、是非このホワイトペーパーと緩和策に関する新しいガイダンスを皆様の IT 部門やベンダーと共有してください。  


決意を持った敵対者と標的型攻撃 その 1 ~マイクロソフト セキュリティ インテリジェンス レポート第 12 版より~

マイクロソフト セキュリティ インテリジェンス レポート第 12 版 (SIRv12) について、こちらのブログでも概要、Confickerに関するレポートをご紹介してきましたが、今回、次回と 2 回に分けて Determined Adversaries and Targeted Attacks (決意を持った敵対者と標的型攻撃) に焦点を当てていきます。 前半である今回は、SIR v 12 で詳解されている標的型攻撃の実態と課題について触れたいと思います。                                                            標的型攻撃の実態 SIR v12 では標的型攻撃の攻撃者をDetermined Adversaries (決意を持った敵対者)という呼称を使って表現しています。単純なマルウェアの拡散を狙った無差別攻撃の実行役とは異なり、標的型攻撃の攻撃者は明確な意図を持った Sponsor(首謀者)と複数の Actor (実行役)から成るチームで、潤沢な資金を持つ洗練された組織であることが多く、スパイ小説に出てくるような犯罪の首謀者と組織の諜報部員のモデルに似ています。 これは、首謀者がターゲットとする情報資産などを明確に実行役に指示し、実行役が継続的に標的にアクセスする、という合理的な雇用モデルです。実行役にとっては、C & C サーバーなどを使用して身元を隠すことができるため、実際のスパイ活動よりもはるかにリスクが少ない仕事だと言えるでしょう。 標的型攻撃について、SIR v 12 では「価値の高い資産を持つ個人または組織を標的とした執拗な攻撃」と定義していますが、もともとは2000年代中期に政府機関が行った攻撃を指す言葉でした。近年、政府機関とは別の実行役による特定組織への攻撃の増加により一般的にも広く使われるようになったため、ご存知の皆さんも多いかと思います。 未知の脆弱性を悪用するなど高度で洗練された攻撃であるようなイメージを持たれがちですが、実際は、古いソフトウェアやセキュリティ更新プログラムを適用していない脆弱性を利用するなど、意外にも高技術を必要としないありきたりな攻撃が多く用いられています。 また、簡単に情報にアクセスするチャンスを獲得しやすいソーシャル エンジニアリングも使われることが多く、信頼できる組織や個人などに成りすまして標的者の認証情報を盗用しようとするスピア フィッシングなどが特によく用いられます。 初期の標的型攻撃では、特定のファイルやファイル タイプを探し出して攻撃者のサーバーにアップロードするように仕込まれたトロイの木馬が使用されるケースが多く見受けられましたが、最近では、マルウェアを使って攻撃者が制御可能なコンピューターに接続し、動的に新しいコマンドを発してカスタマイズされた通信プロトコルを使ってネットワーク監視ソフトに見つからないようにするケースなども確認されています。   標的型攻撃対策の課題 標的型攻撃対策の難しさは、組織に対して日々行われている無数の攻撃の中から標的型攻撃だけを特定することの難しさに起因しています。たとえば、2011年下半期には世界中で700 億ものマルウェアが見つかっています。このような環境下で標的型攻撃だけを識別するのは、以下の観点から非常に困難です。 ○ 悪意のある実行役が多数存在する ○ これら実行役の動機がさまざまである ○ 類似する攻撃が多く、攻撃の性質だけ見ても実行役や動機に結び付けるのが難しい ○ 広大なインターネット上で、善意と悪意のネットワークを見分けるのは容易ではない   では、実際にはどのような対策を立てることが可能なのか …