高度なエンドポイントプロテクション:
ファイルレス攻撃に対する防御テスト
本テストはカスペルスキーから委託を受けた AV-TEST GmbH が実施します。 報告日:2019 年 9 月 27 日 テスト結果およびレポートに対するすべてのマーケティング権は、カスペルスキーに帰属します。 本レポートは AV-TEST GmbH により英語で制作され、株式会社カスペルスキーが日本語で翻訳したものです。エグゼクティブ・サマリー
2019 年 5 月、AV-TEST はさまざまなエンドポイントセキュリティ製品によるファイルレス攻撃からの防御テストを 実施しました。合計 33 の異なるファイルレス攻撃を 4 カテゴリに分け、14 製品のテストに使用しています。この テストの目的は、製品のファイルレス攻撃を検出する能力(検出率を測定するため)およびファイルレス攻撃によ るすべての悪意のあるアクションを防御および修復する能力(防御率)を明らかにすることでした。 テストケースは、できるだけ多くのファイルレス防御技術をカバーするため、よく知られているフレームワークと公 開されている文書化された攻撃技術を使用し、社内で作成しました。使用した手法には、WMI ストレージから、タ スクスケジューラ、Powershell およびその他のスクリプトを介したマルウェア実行を含んでいました。さらに、誤検 知テストを実行しました。すべてのテストは、Microsoft Office をインストールした Windows 10 で実行しました。 テスト中、製品はさまざまな攻撃を検出し、悪意のあるアクションを防止または修復することが期待されていまし た。全製品の平均検出率が 67.75%であったのに対し、最高の検出結果を収めたカスペルスキーの検出率は 100%でした。また 94.12%の最高の防御率をカスペルスキーは再び達成しましたが、全製品の平均防御率は 59.10%でした。 14 製品のうち 11 製品が、検出パートと防御パートの両方で誤検知0にて終了しました。詳細に ついては、レポートの「テスト結果」セクションを参照してください。 テスト結果は、最近ではすべてのベンダーがファイルレスの攻撃を検出してエンドポイントシステムを防御できる わけではないことを示しています。標的型攻撃から一般ユーザーへの攻撃まで、ファイルレス技術の利用が急 増していることを考えれば、マーケティング上の約束にかかわらず、セキュリティベンダーは技術を大幅に改善 することが重要です。 セキュリティの状況を完全に保つために、製品の結果をレポートから除外いたしませんでした。カスペル スキー D社 トレンド マイクロ Bitdefender シマン テック A社 マカ フィー+ マイクロ ソフト マイクロ ソフト マカ フィー+ マイクロ ソフト ESET ソフォス B社 C社 サイラン ス 検知 100,00% 96,97% 78,79% 87,88% 66,67% 75,76% 63,64% 63,64% 72,73% 63,64% 48,48% 45,45% 57,58% 27,27% 防御 94,12% 92,16% 80,39% 66,67% 64,71% 60,78% 60,78% 60,78% 58,82% 56,86% 50,98% 39,22% 31,37% 9,80% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
高度なエンドポイントプロテクション: ファイルレス攻撃
はじめに
現代のサイバー攻撃において、ファイルレス攻撃は危険なペースで増加しています。このような手法は主に標 的型攻撃(APT)で過去数年間使用されていましたが、現在では一般的な攻撃でも頻繁に見られるようになりま した。セキュリティの専門家は、トロイの木馬、ランサムウェア、違法なクリプトマイナー、さらにはアドウェアなど、 さまざまな種類の広範なマルウェアでファイルレス技術が利用されていることが判明しています。顕著な例の 1 つは、クリプトマイニングと DDoS 攻撃を同時に狙うファイルレスマルチツールである PowerGhost であり、多くの 企業コンピューターに感染しました。ファイルレスマルウェアの人気は明らかに、マルウェア対策テクノロジーを 回避する能力からきています。 これらの攻撃の特別な点は、ファイルベースのコンポーネントがないことです。攻撃者は、ドライブバイ攻撃、マ クロを含む悪意のあるドキュメント、脆弱性の悪用などのさまざまな方法で、ファイルレスペイロードを被害者の マシンに配信できます。ただし、悪意のあるファイルをディスクにダウンロードして実行する代わりに、ファイルレ スマルウェアはメモリまたは正当な Windows システムストレージ(WMI オブジェクト、タスクスケジューラオブジェ クトなど)に悪意のあるコードを隠匿し、そこから正当なアプリケーションやユーティリティを悪用して実行します。 一般に、ファイルレス攻撃にシステムベースのツールを使用すると、攻撃者は被害者のホストで効果的に持続で きます。 ファイルレス攻撃を検出し修復するためには、多くの新しく深いテクノロジーセット全体を実装する必要がありま す。そのため、多くのセキュリティソリューションにとって深刻な課題になりました。ファイルレス攻撃を発見するに は、セキュリティソリューションはさまざまな種類の OS ストレージ(Windows レジストリコンテンツ、WMI オブジェク ト、タスクスケジューラオブジェクトなど)を検査し、システム内のプロセスの実行パターンをリアルタイムで分析す る必要があります。正しく検知するために、セキュリティソリューションは正当な管理アクションの実行に対する誤 検知を防止しながら、システムから深く隠されたファイルレス感染をクリアする必要があります。ファイルレスマル ウェアに対するこのような防御対策は、単純なシグニチャベースの手法でも、高度な機械学習ベースのファイル 検査手法でも、以前は提供できませんでした ーそれらが市場でどのように賞賛されていたとしても。 各社のマーケティング部門による効率的なファイルレス攻撃防御への約束、一部の防御ツールの信じられない ほどの利点訴求、さらにさまざまな広告スローガンが、現実をどれくらい反映しているかを発見するためにテスト を行いました。テストの目的はどのファイルレスマルウェアが動作するか、およびそのセキュリティ製品がファイ ルレス攻撃を検出、ブロック、および修正できるかを明らかにすることです ー各セキュリティベンダー自身の主 張にかかわりなく。目次
エグゼクティブ・サマリー ... 1 はじめに ... 3 テスト手法 ... 5 テスト製品 ... 5 テスト環境 ... 5 テストケース ... 6 テストカテゴリ1:WMI ストレージからのマルウェア実行 ... 6 テストカテゴリ 2:タスクスケジューラによるマルウェアの実行 ... 6 テストカテゴリ3:エクスプロイト/マクロ実行後 Powershell スクリプトを実行 ... 6 テストカテゴリ4: その他のアプローチ ... 7 偽陽性(False Positive)テスト ... 7 Scoring ... 7 テスト結果:検知、防御 ... 9 テスト結果:偽陽性(False Positive) ... 12 要約 ... 12テスト手法
テストは、以下の情報に従って実行いたしました。 レポートには最初にテストに要求されたすべての製品のすべての結果が含まれていますが、実施結果に関係な くレポートから除外された製品はありません。 本テストではフィードバックプロセスを行いませんでした。 テストの検出部分で、実行されたアクションに対する警告にフラグを立てることができたかどうかを各セキュリティ ソリューションについて記録しました。 防御の部分では、セキュリティソリューションが攻撃のすべての悪意のあ るアクションを防御および/または修復できるかどうかを記録しました。テスト製品
すべてのテスト済み製品を以下の表にリストアップしています。 カーボンブラック、CrowdStrike、Palo Alto、およ び SentinelOne の製品は、結果の公開が制限されているため、「A 社」から「D 社」として(ランダムな順序で)リス トされています。 製品はデフォルト構成でテストしました。 製品名 バージョンBitdefender Business Security 6.6.9.134 Cylance Protect 2.0.1530.5 ESET Endpoint Security 7.0.2091.0 Kaspersky Endpoint Security for Business 11.0.1.90 McAfee Endpoint Security 5.5.0.447
McAfee Mvision + Microsoft Defender MVISION: 5.6.0.878, Defender: 4.12.17007.18022 Microsoft Defender Antivirus 4.12.17007.18022
Sophos Central Endpoint 10.8.3
Symantec Endpoint Protection 14.2.770.0000 TrendMicro Endpoint Apex 13.95.1165
A 社~D 社製品 不記載
テスト環境
攻撃の準備と実行には、KALI LINUX に基く攻撃ホストを使用しました。 攻撃を受けたホストでは、Microsoft Office 2013 とテスト済みの製品がインストールされた Microsoft Windows 10 RS3 を実行していました。 テストし た製品がインストールされていない、予備のホストを利用して、攻撃実行の概念を検証しました。 攻撃されたホ ストは、フォルダーc:\ users \ vtc \ Documents \ secret.docx に secret.docx ファイルを作成する準備ができて いました。 テストを実行する前に、KALI Linux マシン上の FTP および HTTP サーバーへの接続を確認しました 。
HTTP および FTP サーバーは次のように準備されました。 Kali 上の HTTP サーバー:
•ターミナルから
•apache2ctl start | stop | restart | graceful | Kali 上の FTP サーバー:
•ftp ディレクトリから”python -m pyftpdlib -p 21 –w”を実行
すべてのマシンが常時インターネットにアクセスし、マルウェア対策のベースを更新されました。
テストケース
テストで使用されたさまざまな攻撃は、次の 4 つのカテゴリに分類できます。
テストカテゴリ1:WMI ストレージからのマルウェア実行
このカテゴリのテストケースでは、Microsoft Windows オペレーティングシステムの WMI サブスクリプションメカニ ズムを介した既知の永続化手法を使用します。 2 つの主な感染手法をテストしました。
•PowerShell コマンドの実行後に WMI サブスクリプションがインストールしました(悪意のあるシナリオでは、悪 用プロセスまたは悪意のあるオフィスマクロの実行後に実行される可能性があります)
•悪意のある LNK ファイルが実行された後、WMI サブスクリプションがインストールされました。
すべてのテストケースで、被害者の「ログオン」アクションの後、WMI サブスクリプションを使用して第 1 段階の PowerShell スクリプトが実行しました。第 1 段階の PowerShell スクリプトは、リモート Web サーバーから第 2 段 階の PowerShell スクリプトをダウンロードすることを目的としています。同様の手法は、APT およびアドウェアで 広く使用されています。 合計 4 つのテストケースを準備、テストいたしました。 テストカテゴリ 2:タスクスケジューラによるマルウェアの実行 このカテゴリでは、タスクスケジューラ(Microsoft Windows の正当なコンポーネント)を使用して、被害者のホスト で永続化と実行を試みます。悪意のあるタスクスケジューラタスクは、PowerShell コマンドの実行の助けを借りて 、または Microsoft Office の悪用 CVE-2017-0199 の助けを借りてインストールされます。 In-The-Wild(ITW)攻 撃は、通常、脆弱性の悪用、悪意のあるオフィスマクロ、または悪意のある実行可能ファイルの実行後に試みま す。インストールされたタスクスケジューラタスクの主な機能は、リモートホストから第 2 段階の PowerShell スク リプトをダウンロードして実行することです。このシナリオでは、次のようなさまざまな方法で 2 番目のステージを 実行しました。 •meterpreter ペイロードの実行 •ReflectivePEInjection テクニックを使用した meterpreter ペイロードの実行 •正当なリソースに保存されている悪意のあるペイロードの実行 例:pastebin 合計 10 個のテストケースが準備され、テストされました。 テストカテゴリ3:エクスプロイト/マクロ実行後 Powershell スクリプトを実行 このカテゴリでは、被害者のマシンでのファイルレス永続化にさまざまな手法と方法を使用します。 すべての場 合において、最終的なペイロードとして meterpreter が使用します。 攻撃の例:
•meterpreter の実行に PowerShell および Invoke-ReflectivePEInjection を使用しているマクロを含む悪意のあ るオフィスドキュメント。 すべての悪意のあるコンテンツは、攻撃者のリモートホストからダウンロードされます。 •CVE-2017-0199 の脆弱性を使用している悪意のあるオフィスドキュメント。 悪用に成功した後、メータープリタ ーの実行に PowerShell と Invoke-ReflectivePEInjection を使用します。 合計 2 つのテストケースを準備し、テストしました。 テストカテゴリ4: その他のアプローチ このカテゴリのテストケースには、次のようなさまざまな In-The-Wild(ITW)ファイルレス攻撃技術が混在していま す。 •マルウェア実行のためのファイルの関連付けの使用 •SettingContent-MS ファイル実行の脆弱性の使用 •リモート sct ファイルの実行 さらにこれらのシナリオでは、リモートコマンド実行のために正当なユーティリティが使用されます。 ユーティリテ ィは、横方向の移動のための APT 攻撃で使用されます。 さらにこのような手法は、被害者のネットワークに広 がるために ITW マルウェアで使用されます。 次の手法が使用されます。 •被害者のホスト(https://github.com/kmkz/Sources/blob/master/wmic-poc.xsl)で悪意のある xsl ファイルを起 動するための正当なユーティリティとしての PsExec 合計 17 のテストケースが準備され、テストいたしました。 偽陽性(False Positive)テスト このセクションには管理者が正当なケースで使用するいくつかのテストケースが含まれていますが、攻撃者は同 様の手法を使用してネットワーク内のマシンに感染する可能性があります。 テストケースの例: •リモート履歴に関する情報を取得するための PsExec の使用 •リモートホストで実行中のプロセスに関する情報を収集するための WMIC の使用 •ホストで実行中のサービスのアクティビティを記録するための WMI サブスクリプションの使用 合計 3 つのテストケースし準備され、テストしました。
Scoring
各製品は、攻撃検出、悪意のあるアクションを防止または修正することが期待されていました。 テストの検出部分では、ファイアウォールなどによる静的または動的な検出など、あらゆる種類の検出手段を考 慮いたしました。 33 の異なるテストケースがあるため、ここでは最大 33 ポイントを獲得できました。 テストの防御の部分では、各テストシナリオのさまざまな悪意のあるすべてのアクションが、テスト対象の製品ご との防止または修復のために精査されました。 製品がアクションを正常に防止または修正した場合、それぞれ に対して 1 ポイントが与えられました。 合計 51 のアクションが実行されましたが、これも可能な最大スコアです 。偽陽性テストは、検知されるべきではない 3 つの異なるファイルレスベースのテストケースで構成されています。 さらに 1 つのケースでは、製品によってブロック(遮断)されるべきではないファイルがディスク上に作成されてい ます。 誤検知または誤ブロックごとに、ポイントを一つカウントしました。
テスト結果:検知、防御
全体的な検出率と防御率の結果は、図 1 のパーセンテージと図 2 の獲得ポイントの絶対量のグラフに示されて います。グラフの製品結果は、防御率の値でソートしています。 図1. ファイルレス攻撃に対する検知率・防御率結果 図 2 の水平線は、検出および防御パーツで製品ごとに個別に到達できる最大ポイント数を表しています。 図2. 33種類のファイルレス攻撃への検知ならびに51種類の行動への防御結果 カスペル スキー D社 トレンド マイクロ Bitdefender シマン テック A社 マカ フィー+ マイクロ ソフト マイクロ ソフト マカ フィー ESET ソフォス B社 C社 サイラン ス 検知 100,00% 96,97% 78,79% 87,88% 66,67% 75,76% 63,64% 63,64% 72,73% 63,64% 48,48% 45,45% 57,58% 27,27% 防御 94,12% 92,16% 80,39% 66,67% 64,71% 60,78% 60,78% 60,78% 58,82% 56,86% 50,98% 39,22% 31,37% 9,80% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%高度なエンドポイントプロテクション:ファイルレス攻撃
33 32 26 29 22 25 21 21 24 21 16 15 19 9 48 47 41 34 33 31 31 31 30 29 26 20 16 5 0 3 6 9 12 15 18 21 24 27 30 33 36 39 42 45 48 51 カスペルスキー Bitdefender マカフィー+マイクロソフト ESET C社高度なエンドポイントプロテクション:ファイルレス
検知 防御 最大検知ポイント 最大防御ポイントカスペルスキー製品だけが 33 の攻撃すべてを検出できました。 他のいくつかの製品も、かなりの数のテストケ ースを検出できました。 すべてのテストケースの実行中に実行された 51 のアクションすべてに対して防御できる製品はありませんでし た。 しかし、カスペルスキー製品は最高 51 ポイントの内 48 ポイントが最高の結果に達しました。 次のグラフは、テストケースの 4 つのグループに分かれた検出率と防御率の分布を示しています。 図3. ファイルレス攻撃4グループ内における検知結果の分散状況 図 3 は、テストケースの個別の 4 つのグループ内での検出の分布を示し、検出されたテストケースの合計量でソ ートされています。 グループで可能な最大スコアは、4、10、2、および 17 です。 カテゴリ#1では、4つすべてのテストケースでアラートを発した製品があります:Bitdefender、カスペルスキー、 マカフィー、トレンドマイクロ、D 社、C 社。 カテゴリ#2 では、10個すべてのテストケースでアラートを発した製品があります:Bitdefender、カスペルスキー 、トレンドマイクロ、A 社、D 社。 2 つのテストケースを含むカテゴリ#3 は、ほとんどの製品で問題ありませんでした。 カテゴリ#4 では、17 個すべてのテストケースで警告したのはカスペルスキーのみです。 0 0 2 4 0 0 0 2 4 1 4 4 4 4 4 6 6 8 8 8 8 8 9 10 10 10 10 10 2 2 1 0 2 2 2 2 2 2 2 2 2 2 3 7 7 7 11 11 11 10 9 12 10 13 16 17 0 3 6 9 12 15 18 21 24 27 30 33 サイランス B社 Sophos C社 ESET マカフィー+マイクロソフト マイクロソフト シマンテック マカフィー A社 トレンドマイクロ Bitdefender D社 カスペルスキー
33のファイルレス攻撃に対する検知
図4.ファイルレス攻撃4グループ内における防御結果の分散状況 図 4 は、防御されたアクションの合計量で並べ替えられた、テストケースの 4 つの個別のグループ内の防御の分 布を示しています。 可能な最大スコアは、10、20、2、および 19 です。 カテゴリ#1 では、テストケースで使用されるすべての悪意のあるアクション(合計 10 個)を防止できる製品はあ りません。 カスペルスキーは他の参加製品の中で最大ポイントを獲得しました:8 ポイント。 カテゴリ#2 合計20個のテストケースで使用されるすべての悪意のあるアクションを防ぐことができる製品があ ります:Bitdefender、カスペルスキー、トレンドマイクロ、D 社。 2 つのテストケースを含むカテゴリ#3、ほとんどの製品で問題はありません。 カテゴリ#4 では、合計19個のテストケースで使用されるすべての悪意のあるアクションを防ぐことができる製品 はありません。カスペルスキーとベンダーD は、他の参加製品の中で最大 18 ポイントを獲得しました。 0 4 0 6 0 3 0 0 0 4 0 6 7 8 0 6 10 12 16 14 18 16 16 16 20 20 20 20 2 0 2 1 2 2 2 2 2 1 2 2 2 2 3 6 8 7 11 10 11 13 13 12 12 12 18 18 0 3 6 9 12 15 18 21 24 27 30 33 36 39 42 45 48 51 サイランス C社 B社 ソフォス ESET マカフィー A社 マカフィー+マイクロソフト マイクロソフト シマンテック Bitdefender トレンドマイクロ D社 カスペルスキー
51の行動に対する防御
テスト結果:偽陽性(False Positive)
最後の部分は、3 つの異なるテストケースでの偽陽性テストでした。 AV 製品の検出は行われず、どのアクショ ンもブロックされないことが予想されました。 このような誤検知またはブロックが観察される製品は 3 つしかあり ませんでした。
製品名 誤検知 (3 ケース) 誤ブロック(1 ケース)
Bitdefender Business Security 0 0
Cylance Protect 0 1
ESET Endpoint Security 1 1 Kaspersky Endpoint Security for Business 0 0
McAfee EP Security 0 0
McAfee Mvision + Microsoft Defender 0 0 Microsoft Defender Antivirus 0 0 Sophos Central Endpoint 1 0 Symantec Endpoint Protection 0 0 TrendMicro Endpoint Apex 0 0
A 社 0 0 B 社 0 0 C 社 0 0 D 社 0 0 図5. 偽陽性(False Positives)テスト結果
要約
今回のテスト結果で明らかになったのは、市場で入手可能な 14 のセキュリティ製品がファイルレス攻撃に対し て検出・防御する真の能力です。ほぼ完璧なスコアで終了した製品は 2 つだけです。 ただし、これらの製品の中には、防御に技術スタックを集中させていない製品もあります。ライブマルウェアのサ ンプルではなかったため、これらのベンダーは一般的な検出ではなく、攻撃が発生した場合に専用の検出を追 加すべきと主張している場合があります。その場合確かに機能しますが、この防御が実際に開発および展開さ れるまで、エンドユーザーは防御されないままになります。 スクリプトの実行を完全にブロックする構成オプションを備えた製品もありました。これにより、テストされたファイ ルレス攻撃の一部が効果的に防止されますが、スクリプトのすべての正当な使用が防止されるため、誤検知が 発生し、除外構成を維持するために多大な IT 費用が発生します。したがって、これらのオプションは本テストで は有効になっていません。カスペルスキーは、Adaptive Anomaly Control テクノロジーを製品の最新バージョンに統合し、誤検知を引き起 こすことなく、必要なホスト上のスクリプトを含む潜在的に悪意のあるアクションのブロックを自動的に選択的に オンにします。このオプションは評価に含まれていなかったため、すべての製品は同じ状態のままでした。それ にもかかわらず、カスペルスキーエンドポイントセキュリティは、すべての参加者の中で最高の検出(100%)およ び防御(94.12%)で終了しました。