高度なエンドポイントプロテクション : ファイルレス攻撃に対する防御テスト 本テストはカスペルスキーから委託を受けた AV-TEST GmbH が実施します 報告日 :2019 年 9 月 27 日 テスト結果およびレポートに対するすべてのマーケティング権は カスペルスキーに帰属します 本レポートは

Transcription

1 高度なエンドポイントプロテクション : ファイルレス攻撃に対する防御テスト 本テストはカスペルスキーから委託を受けた AV-TEST GmbH が実施します 報告日 :19 年 9 月 7 日 テスト結果およびレポートに対するすべてのマーケティング権は カスペルスキーに帰属します 本レポートは AV-TEST GmbH により英語で制作され 株式会社カスペルスキーが日本語で翻訳したものです エグゼクティブ サマリー 19 年 5 月 AV-TEST はさまざまなエンドポイントセキュリティ製品によるファイルレス攻撃からの防御テストを実施しました 合計 33 の異なるファイルレス攻撃を カテゴリに分け 1 製品のテストに使用しています このテストの目的は 製品のファイルレス攻撃を検出する能力 ( 検出率を測定するため ) およびファイルレス攻撃によるすべての悪意のあるアクションを防御および修復する能力 ( 防御率 ) を明らかにすることでした テストケースは できるだけ多くのファイルレス防御技術をカバーするため よく知られているフレームワークと公開されている文書化された攻撃技術を使用し 社内で作成しました 使用した手法には WMI ストレージから タスクスケジューラ Powershell およびその他のスクリプトを介したマルウェア実行を含んでいました さらに 誤検知テストを実行しました すべてのテストは Microsoft Office をインストールした Windows 1 で実行しました テスト中 製品はさまざまな攻撃を検出し 悪意のあるアクションを防止または修復することが期待されていました 全製品の平均検出率が 7.75% であったのに対し 最高の検出結果を収めたカスペルスキーの検出率は 1% でした また 9.1% の最高の防御率をカスペルスキーは再び達成しましたが 全製品の平均防御率は 59.1% でした 1 製品のうち 11 製品が 検出パートと防御パートの両方で誤検知 にて終了しました 詳細については レポートの テスト結果 セクションを参照してください テスト結果は 最近ではすべてのベンダーがファイルレスの攻撃を検出してエンドポイントシステムを防御できるわけではないことを示しています 標的型攻撃から一般ユーザーへの攻撃まで ファイルレス技術の利用が急増していることを考えれば マーケティング上の約束にかかわらず セキュリティベンダーは技術を大幅に改善することが重要です セキュリティの状況を完全に保つために 製品の結果をレポートから除外いたしませんでした 高度なエンドポイントプロテクション : ファイルレス攻撃に対する防御テスト Page 1

2 高度なエンドポイントプロテクション : ファイルレス攻撃 1% 9% % 7% % 5% % 3% % 1% % カスペル スキー D 社 トレンド シマン マイクロ Bitdefender テック A 社 マカフィー + マイクロソフト マイクロ ソフト マカフィー + マイクロソフト ESET ソフォス B 社 C 社 サイラン ス 検知 1,% 9,97% 7,79% 7,%,7% 75,7% 3,% 3,% 7,73% 3,%,% 5,5% 57,5% 7,7% 防御 9,1% 9,1%,39%,7%,71%,7%,7%,7% 5,% 5,% 5,9% 39,% 31,37% 9,% 高度なエンドポイントプロテクション : ファイルレス攻撃に対する防御テスト Page

3 はじめに 現代のサイバー攻撃において ファイルレス攻撃は危険なペースで増加しています このような手法は主に標的型攻撃 (APT) で過去数年間使用されていましたが 現在では一般的な攻撃でも頻繁に見られるようになりました セキュリティの専門家は トロイの木馬 ランサムウェア 違法なクリプトマイナー さらにはアドウェアなど さまざまな種類の広範なマルウェアでファイルレス技術が利用されていることが判明しています 顕著な例の 1 つは クリプトマイニングと DDoS 攻撃を同時に狙うファイルレスマルチツールである PowerGhost であり 多くの企業コンピューターに感染しました ファイルレスマルウェアの人気は明らかに マルウェア対策テクノロジーを回避する能力からきています これらの攻撃の特別な点は ファイルベースのコンポーネントがないことです 攻撃者は ドライブバイ攻撃 マクロを含む悪意のあるドキュメント 脆弱性の悪用などのさまざまな方法で ファイルレスペイロードを被害者のマシンに配信できます ただし 悪意のあるファイルをディスクにダウンロードして実行する代わりに ファイルレスマルウェアはメモリまたは正当な Windows システムストレージ (WMI オブジェクト タスクスケジューラオブジェクトなど ) に悪意のあるコードを隠匿し そこから正当なアプリケーションやユーティリティを悪用して実行します 一般に ファイルレス攻撃にシステムベースのツールを使用すると 攻撃者は被害者のホストで効果的に持続できます ファイルレス攻撃を検出し修復するためには 多くの新しく深いテクノロジーセット全体を実装する必要があります そのため 多くのセキュリティソリューションにとって深刻な課題になりました ファイルレス攻撃を発見するには セキュリティソリューションはさまざまな種類の OS ストレージ (Windows レジストリコンテンツ WMI オブジェクト タスクスケジューラオブジェクトなど ) を検査し システム内のプロセスの実行パターンをリアルタイムで分析する必要があります 正しく検知するために セキュリティソリューションは正当な管理アクションの実行に対する誤検知を防止しながら システムから深く隠されたファイルレス感染をクリアする必要があります ファイルレスマルウェアに対するこのような防御対策は 単純なシグニチャベースの手法でも 高度な機械学習ベースのファイル検査手法でも 以前は提供できませんでしたーそれらが市場でどのように賞賛されていたとしても 各社のマーケティング部門による効率的なファイルレス攻撃防御への約束 一部の防御ツールの信じられないほどの利点訴求 さらにさまざまな広告スローガンが 現実をどれくらい反映しているかを発見するためにテストを行いました テストの目的はどのファイルレスマルウェアが動作するか およびそのセキュリティ製品がファイルレス攻撃を検出 ブロック および修正できるかを明らかにすることですー各セキュリティベンダー自身の主張にかかわりなく 高度なエンドポイントプロテクション : ファイルレス攻撃に対する防御テスト Page 3

4 目次 エグゼクティブ サマリー... 1 はじめに... 3 テスト手法... 5 テスト製品... 5 テスト環境... 5 テストケース... テストカテゴリ 1:WMI ストレージからのマルウェア実行... テストカテゴリ : タスクスケジューラによるマルウェアの実行... テストカテゴリ 3: エクスプロイト / マクロ実行後 Powershell スクリプトを実行... テストカテゴリ : その他のアプローチ... 7 偽陽性 (False Positive) テスト... 7 Scoring... 7 テスト結果 : 検知 防御... 9 テスト結果 : 偽陽性 (False Positive)... 1 要約... 1 高度なエンドポイントプロテクション : ファイルレス攻撃に対する防御テスト Page

5 テスト手法 テストは 以下の情報に従って実行いたしました レポートには最初にテストに要求されたすべての製品のすべての結果が含まれていますが 実施結果に関係なくレポートから除外された製品はありません 本テストではフィードバックプロセスを行いませんでした テストの検出部分で 実行されたアクションに対する警告にフラグを立てることができたかどうかを各セキュリティソリューションについて記録しました 防御の部分では セキュリティソリューションが攻撃のすべての悪意のあるアクションを防御および / または修復できるかどうかを記録しました テスト製品 すべてのテスト済み製品を以下の表にリストアップしています カーボンブラック CrowdStrike Palo Alto およ び SentinelOne の製品は 結果の公開が制限されているため A 社 から D 社 として ( ランダムな順序で ) リス トされています 製品はデフォルト構成でテストしました 製品名 バージョン Bitdefender Business Security Cylance Protect ESET Endpoint Security Kaspersky Endpoint Security for Business McAfee Endpoint Security McAfee Mvision + Microsoft Defender MVISION: 5...7, Defender: Microsoft Defender Antivirus Sophos Central Endpoint 1..3 Symantec Endpoint Protection TrendMicro Endpoint Apex A 社 ~D 社製品 不記載 テスト環境 攻撃の準備と実行には KALI LINUX に基く攻撃ホストを使用しました 攻撃を受けたホストでは Microsoft Office 13 とテスト済みの製品がインストールされた Microsoft Windows 1 RS3 を実行していました テストし た製品がインストールされていない 予備のホストを利用して 攻撃実行の概念を検証しました 攻撃されたホ ストは フォルダー c:\ users \ vtc \ Documents \ secret.docx に secret.docx ファイルを作成する準備ができて いました テストを実行する前に KALI Linux マシン上の FTP および HTTP サーバーへの接続を確認しました HTTP および FTP サーバーは次のように準備されました Kali 上の HTTP サーバー : ターミナルから apachectl start stop restart graceful Kali 上の FTP サーバー : apt-get install python-pyftpdlib 高度なエンドポイントプロテクション : ファイルレス攻撃に対する防御テスト Page 5

6 ftp ディレクトリから python -m pyftpdlib -p 1 w を実行 すべてのマシンが常時インターネットにアクセスし マルウェア対策のベースを更新されました テストケーステストで使用されたさまざまな攻撃は 次の つのカテゴリに分類できます テストカテゴリ1:WMI ストレージからのマルウェア実行このカテゴリのテストケースでは Microsoft Windows オペレーティングシステムの WMI サブスクリプションメカニズムを介した既知の永続化手法を使用します つの主な感染手法をテストしました PowerShell コマンドの実行後に WMI サブスクリプションがインストールしました ( 悪意のあるシナリオでは 悪用プロセスまたは悪意のあるオフィスマクロの実行後に実行される可能性があります ) 悪意のある LNK ファイルが実行された後 WMI サブスクリプションがインストールされました すべてのテストケースで 被害者の ログオン アクションの後 WMI サブスクリプションを使用して第 1 段階の PowerShell スクリプトが実行しました 第 1 段階の PowerShell スクリプトは リモート Web サーバーから第 段階の PowerShell スクリプトをダウンロードすることを目的としています 同様の手法は APT およびアドウェアで広く使用されています 合計 つのテストケースを準備 テストいたしました テストカテゴリ : タスクスケジューラによるマルウェアの実行このカテゴリでは タスクスケジューラ (Microsoft Windows の正当なコンポーネント ) を使用して 被害者のホストで永続化と実行を試みます 悪意のあるタスクスケジューラタスクは PowerShell コマンドの実行の助けを借りて または Microsoft Office の悪用 CVE の助けを借りてインストールされます In-The-Wild(ITW) 攻撃は 通常 脆弱性の悪用 悪意のあるオフィスマクロ または悪意のある実行可能ファイルの実行後に試みます インストールされたタスクスケジューラタスクの主な機能は リモートホストから第 段階の PowerShell スクリプトをダウンロードして実行することです このシナリオでは 次のようなさまざまな方法で 番目のステージを実行しました meterpreter ペイロードの実行 ReflectivePEInjection テクニックを使用した meterpreter ペイロードの実行 正当なリソースに保存されている悪意のあるペイロードの実行例 :pastebin 合計 1 個のテストケースが準備され テストされました テストカテゴリ3: エクスプロイト / マクロ実行後 Powershell スクリプトを実行このカテゴリでは 被害者のマシンでのファイルレス永続化にさまざまな手法と方法を使用します すべての場合において 最終的なペイロードとして meterpreter が使用します 攻撃の例 : 高度なエンドポイントプロテクション : ファイルレス攻撃に対する防御テスト Page

7 meterpreter の実行に PowerShell および Invoke-ReflectivePEInjection を使用しているマクロを含む悪意のあるオフィスドキュメント すべての悪意のあるコンテンツは 攻撃者のリモートホストからダウンロードされます CVE の脆弱性を使用している悪意のあるオフィスドキュメント 悪用に成功した後 メータープリターの実行に PowerShell と Invoke-ReflectivePEInjection を使用します 合計 つのテストケースを準備し テストしました テストカテゴリ: その他のアプローチこのカテゴリのテストケースには 次のようなさまざまな In-The-Wild(ITW) ファイルレス攻撃技術が混在しています マルウェア実行のためのファイルの関連付けの使用 SettingContent-MS ファイル実行の脆弱性の使用 リモート sct ファイルの実行さらにこれらのシナリオでは リモートコマンド実行のために正当なユーティリティが使用されます ユーティリティは 横方向の移動のための APT 攻撃で使用されます さらにこのような手法は 被害者のネットワークに広がるために ITW マルウェアで使用されます 次の手法が使用されます 被害者のホスト ( で悪意のある xsl ファイルを起動するための正当なユーティリティとしての PsExec 合計 17 のテストケースが準備され テストいたしました 偽陽性 (False Positive) テストこのセクションには管理者が正当なケースで使用するいくつかのテストケースが含まれていますが 攻撃者は同様の手法を使用してネットワーク内のマシンに感染する可能性があります テストケースの例 : リモート履歴に関する情報を取得するための PsExec の使用 リモートホストで実行中のプロセスに関する情報を収集するための WMIC の使用 ホストで実行中のサービスのアクティビティを記録するための WMI サブスクリプションの使用合計 3 つのテストケースし準備され テストしました Scoring 各製品は 攻撃検出 悪意のあるアクションを防止または修正することが期待されていました テストの検出部分では ファイアウォールなどによる静的または動的な検出など あらゆる種類の検出手段を考慮いたしました 33 の異なるテストケースがあるため ここでは最大 33 ポイントを獲得できました テストの防御の部分では 各テストシナリオのさまざまな悪意のあるすべてのアクションが テスト対象の製品ごとの防止または修復のために精査されました 製品がアクションを正常に防止または修正した場合 それぞれに対して 1 ポイントが与えられました 合計 51 のアクションが実行されましたが これも可能な最大スコアです 高度なエンドポイントプロテクション : ファイルレス攻撃に対する防御テスト Page 7

8 偽陽性テストは 検知されるべきではない 3 つの異なるファイルレスベースのテストケースで構成されています さらに 1 つのケースでは 製品によってブロック ( 遮断 ) されるべきではないファイルがディスク上に作成されてい ます 誤検知または誤ブロックごとに ポイントを一つカウントしました 高度なエンドポイントプロテクション : ファイルレス攻撃に対する防御テスト Page

9 テスト結果 : 検知 防御 全体的な検出率と防御率の結果は 図 1 のパーセンテージと図 の獲得ポイントの絶対量のグラフに示されて います グラフの製品結果は 防御率の値でソートしています 高度なエンドポイントプロテクション : ファイルレス攻撃 1% 9% % 7% % 5% % 3% % 1% % マカ カスペル スキー D 社 トレンド シマン マイクロ Bitdefender テック A 社 フィー + マイクロ マイクロ ソフト マカ フィー ESET ソフォス B 社 C 社 サイラン ス ソフト 検知 1,% 9,97% 7,79% 7,%,7% 75,7% 3,% 3,% 7,73% 3,%,% 5,5% 57,5% 7,7% 防御 9,1% 9,1%,39%,7%,71%,7%,7%,7% 5,% 5,% 5,9% 39,% 31,37% 9,% 図 1. ファイルレス攻撃に対する検知率 防御率結果 図 の水平線は 検出および防御パーツで製品ごとに個別に到達できる最大ポイント数を表しています 高度なエンドポイントプロテクション : ファイルレス カスペルスキー Bitdefender マカフィー + マイクロソフト ESET C 社 検知防御最大検知ポイント最大防御ポイント 図. 33 種類のファイルレス攻撃への検知ならびに 51 種類の行動への防御結果 高度なエンドポイントプロテクション : ファイルレス攻撃に対する防御テスト Page 9

10 カスペルスキー製品だけが 33 の攻撃すべてを検出できました 他のいくつかの製品も かなりの数のテストケースを検出できました すべてのテストケースの実行中に実行された 51 のアクションすべてに対して防御できる製品はありませんでした しかし カスペルスキー製品は最高 51 ポイントの内 ポイントが最高の結果に達しました 次のグラフは テストケースの つのグループに分かれた検出率と防御率の分布を示しています 33 のファイルレス攻撃に対する検知 カスペルスキー 1 17 D 社 1 1 Bitdefender 1 13 トレンドマイクロ 1 1 A 社 マカフィー 9 9 シマンテック 1 マイクロソフト 11 マカフィー + マイクロソフト 11 ESET 11 C 社 7 Sophos 1 7 B 社 7 サイランス Test category #1 Test category # Test category #3 Test category # 図 3. ファイルレス攻撃 グループ内における検知結果の分散状況 図 3 は テストケースの個別の つのグループ内での検出の分布を示し 検出されたテストケースの合計量でソートされています グループで可能な最大スコアは 1 および 17 です カテゴリ #1では つすべてのテストケースでアラートを発した製品があります :Bitdefender カスペルスキー マカフィー トレンドマイクロ D 社 C 社 カテゴリ # では 1 個すべてのテストケースでアラートを発した製品があります :Bitdefender カスペルスキー トレンドマイクロ A 社 D 社 つのテストケースを含むカテゴリ #3 は ほとんどの製品で問題ありませんでした カテゴリ # では 17 個すべてのテストケースで警告したのはカスペルスキーのみです 高度なエンドポイントプロテクション : ファイルレス攻撃に対する防御テスト Page 1

11 51 の行動に対する防御 カスペルスキー 1 D 社 7 1 トレンドマイクロ 1 Bitdefender 1 シマンテック マイクロソフト 1 13 マカフィー + マイクロソフト 1 13 A 社 1 11 マカフィー ESET 1 11 ソフォス B 社 1 C 社 サイランス Test category #1 Test category # Test category #3 Test category # 図. ファイルレス攻撃 グループ内における防御結果の分散状況 図 は 防御されたアクションの合計量で並べ替えられた テストケースの つの個別のグループ内の防御の分布を示しています 可能な最大スコアは 1 および 19 です カテゴリ #1 では テストケースで使用されるすべての悪意のあるアクション ( 合計 1 個 ) を防止できる製品はありません カスペルスキーは他の参加製品の中で最大ポイントを獲得しました : ポイント カテゴリ # 合計 個のテストケースで使用されるすべての悪意のあるアクションを防ぐことができる製品があります :Bitdefender カスペルスキー トレンドマイクロ D 社 つのテストケースを含むカテゴリ #3 ほとんどの製品で問題はありません カテゴリ # では 合計 19 個のテストケースで使用されるすべての悪意のあるアクションを防ぐことができる製品はありません カスペルスキーとベンダー D は 他の参加製品の中で最大 1 ポイントを獲得しました 高度なエンドポイントプロテクション : ファイルレス攻撃に対する防御テスト Page 11

12 テスト結果 : 偽陽性 (False Positive) 最後の部分は 3 つの異なるテストケースでの偽陽性テストでした AV 製品の検出は行われず どのアクショ ンもブロックされないことが予想されました このような誤検知またはブロックが観察される製品は 3 つしかあり ませんでした 製品名誤検知 (3 ケース ) 誤ブロック (1 ケース ) Bitdefender Business Security Cylance Protect 1 ESET Endpoint Security 1 1 Kaspersky Endpoint Security for Business McAfee EP Security McAfee Mvision + Microsoft Defender Microsoft Defender Antivirus Sophos Central Endpoint 1 Symantec Endpoint Protection TrendMicro Endpoint Apex A 社 B 社 C 社 D 社 図 5. 偽陽性 (False Positives) テスト結果 要約 今回のテスト結果で明らかになったのは 市場で入手可能な 1 のセキュリティ製品がファイルレス攻撃に対して検出 防御する真の能力です ほぼ完璧なスコアで終了した製品は つだけです ただし これらの製品の中には 防御に技術スタックを集中させていない製品もあります ライブマルウェアのサンプルではなかったため これらのベンダーは一般的な検出ではなく 攻撃が発生した場合に専用の検出を追加すべきと主張している場合があります その場合確かに機能しますが この防御が実際に開発および展開されるまで エンドユーザーは防御されないままになります スクリプトの実行を完全にブロックする構成オプションを備えた製品もありました これにより テストされたファイルレス攻撃の一部が効果的に防止されますが スクリプトのすべての正当な使用が防止されるため 誤検知が発生し 除外構成を維持するために多大な IT 費用が発生します したがって これらのオプションは本テストでは有効になっていません カスペルスキーは Adaptive Anomaly Control テクノロジーを製品の最新バージョンに統合し 誤検知を引き起こすことなく 必要なホスト上のスクリプトを含む潜在的に悪意のあるアクションのブロックを自動的に選択的にオンにします このオプションは評価に含まれていなかったため すべての製品は同じ状態のままでした それにもかかわらず カスペルスキーエンドポイントセキュリティは すべての参加者の中で最高の検出 (1%) および防御 (9.1%) で終了しました 高度なエンドポイントプロテクション : ファイルレス攻撃に対する防御テスト Page 1