DAY1 12.18 THU 14:40-15:20
会場:the Amphitheater
Hiding in Plain Sight:
Bypassing EDR in the Blind Spots of Containers and Scripting Engines
-
株式会社SODA
小竹 泰一氏
脆弱性のあるドライバを持ち込む「Bring Your Own Driver」をはじめとして、“Bring Your Own”パラダイムは、攻撃者が侵害した端末内に自らに都合の良い実行環境を構築し、EDR(Endpoint Detection and Response)を回避するための定番手法として広まっています。近年、“Bring Your Own”パラダイムは、新たな進化を遂げています。
本セッションでは、「Bring Your Own Container(BYOC)」と「Bring Your Own Scripting Interpreter(BYOSI)」の2つの手法を中心に、信頼された実行環境の死角をどのように活用し、EDRをバイパスするのかを紹介します。信頼されたランタイム内に独自の実行環境を構築することで、多くのEDRにとって可視性の低いユーザーランドの死角で活動できます。
BYOSIは、oldkingcone氏により提唱され、Marcello Salvati氏の「Bring Your Own Interpreter」をモダンなスクリプト言語に拡張したものです。
Bring Your Own Interpreterでは.NETが用いられていましたが、モダンなスクリプト言語を用いることでその概念を拡張できます。
本発表では、先行研究で示されたPHPに加え、他の著名なスクリプトエンジンを用いても同様にEDRをバイパス可能であることを実証します。
BYOCは私がAVTOKYO 2024で公開した手法です。AVTOKYOでは、Dockerコンテナの中をEDRが監視していないことを利用し、EDRをバイパスする方法と更にOSに備わっている防御機構をバイパスする方法を紹介しました。
Apple Containerを用いた手法を新たに公開します。
macOSのTCCやWindowsのDocker Desktop Dialog、Controlled folder accessといった防御機構を回避する具体的なテクニックについても詳述します。
本セッションを通じて、攻撃者が正規のツール、環境をいかに巧みに悪用するかを示します。