SIEM、Sysmon、およびアンチウイルスがあるのに、なぜEDRを実装するのですか？

エンドポイントの監視がなければ、今日では、セキュリティを完全に確保し、侵害されたインフラストラクチャの事実をタイムリーに検出することはできません。「紳士の」セット（ネットワーク監視、アンチウイルス、標準エンドポイント監査）では、深刻なグループだけでなく、トレーニングレベルの低い攻撃者にも対抗できなくなりました。どうして？具体的な例を見てみましょう。





まだ漫画から「昔々犬がいた」



そのため、標準の監視ツールでは不十分になりつつあります。これにはいくつかの要因があります。

• 侵害の指標（ハッシュ、IPアドレス、およびドメイン名）は、攻撃者にとって、特にAPTの場合、変更が容易であるため、1回限りの使用であることがよくあります。
• 攻撃者は、正当な実行可能ファイル、標準のOSツールなどを使用します。
• , ;
• , , ;
• .

攻撃が正常に検出されたとしても、質問に明確に答えるのに十分な情報がありません。現在のインシデントが使い果たされているか、他の何らかの対策が必要です。結局のところ、レジストリの操作、ファイルの作成、メモリへのモジュールのロード、作成されたプロセスのコマンドラインなど、多くのイベントは単純に追跡されません。



エンドポイント監視は、攻撃を検出および防止する機能を大幅に拡張します。これにより、ハッシュ、IP、およびドメインの検出から、ホストアーティファクト、ツール、およびTTP（はい、まさに「痛みのピラミッド」）の検出に移行できます。



実際に頻繁に遭遇し、ホストの監視なしでは検出されない手法のいくつかの例：

• DLLハイジャック
• 土地を離れて暮らす
• Mimikatzの使用

追加のエンドポイント監視は、組み込みのOSツール（高度な監査）、無料のユーティリティ（Sysmonなど）、および商用ソリューション（EDRクラスの製品）を使用して実行できます。上記の手法のさまざまなバリエーションを検出する例を使用して、これらのアプローチの長所と短所を検討してみましょう。

高度な監査。Windowsイベントログ

組み込みの監査については誰もが知っています。実践が示すように、コマンドラインと一緒にプロセス作成イベントのコレクションを1つだけ含めることで、インシデントの監視と調査のプロセスが大幅に容易になります（パレートの法則）。



適切な構成で、標準的なアプローチのいくつかのギャップを埋め、次のことを確認します。

• コマンドラインと一緒にプロセスを開始する事実。
• デコードされたPowerShellスクリプト（スクリプトブロックロギング）
• 部分的に-ファイルとレジストリを操作します。
• アカウントに関連するアクティビティ（ユーザーの作成/削除など）。

新しいテクニックを見つける機会があります。

• 特定のパスでファイルを作成するためのいくつかのDLLハイジャックオプション。
• コマンドラインのパターンでLOLBinとMimikatzを使用します。

ただし、攻撃者は依然として検出を回避することができます。LOLBinの場合、これはファイルを別の名前で別のフォルダーにコピーし、コマンドラインをわかりにくくする可能性があります。また、Mimikatzは、コマンドと行を変更して再コンパイルできます。これにより、コマンドラインでの使用を検出できなくなります。また、DLLハイジャックの対象となる正当なバイナリファイルがマシンに配置されている場合、オプションは表示されません。

行が変更されたMimikatzコード

サードパーティのソフトウェアをプレインストールしなくても、任意のシステムでWindows監査を設定できますが、重大な欠点もあり



ます。1。不便で拡張性の低い構成。



例：特定のレジストリブランチを監視するには、そのブランチのACLを個別に構成する必要があります。実際には、何らかのアクションを実行する必要があるという事実は、特に大規模なインフラストラクチャの場合、問題と時間の遅延につながります。これが監視を拡張するために行われる場合（たとえば、UACバイパスの何らかの方法を検出するため）、時間は重要ではありません。しかし、インシデント中にそのような必要が生じた場合、対応プロセスが複雑になります。



2.コントロールの欠如。



イベントが使用されている監視システムの登録または入力を停止した場合、集中化が行われないため、これを時間内に理解できない可能性があります。



3.反対のしやすさ。



熟練度の低い攻撃者でさえ、標準的な監査から身を隠す方法を知っています。唯一の問題は、彼らがどれだけ効果的かつ目に見えない形でそれを行うかということです。



テクニックの例：

• ログの定期的なクリーニング。イベント回復が成功する可能性は、クリーンアップからどれだけの時間が経過したかによって異なります。
• 監査サービススレッドを一時停止してから、悪意のあるアクションを実行するか、イベントを削除します（たとえば、ツールgithub.com/QAX-A-Team/EventCleanerを使用します）。
• 対応する.evtxファイルの構造を壊してイベントを非表示にします。
• イベントを一時的に別のファイルにリダイレクトします。この手法については、前回の記事で説明しました。

4.それ自体では、監査を設定しても監視を整理する機会は提供されません。まず、イベントの集中コレクションを確立してから、SIEMなどの追加ツールを使用してイベントを分析する必要があります。



5.イベントの情報量が少ない。起動されたプロセスのハッシュを取得したり、プロセスメモリへのライブラリのロードを監視したりすることはできません。

SysmonとEDRの類似点

Sysmonは、システムでプロアクティブなアクションを実行する機能がないため、完全なEDRソリューションではありません。ただし、イベントを収集するメカニズムは、商用EDRの場合とまったく同じです。カーネルコールバックとETWの2つのテクノロジで機能します。それらについては詳しく説明しません。イベントがどのように表示されるか、およびイベントの作成の開始者は誰かについてのみ検討します。







•カーネルコールバック。たとえば、PcreateProcessNotifyRoutine、PcreateThreadNotifyRoutineです。

これらおよびその他のコールバックが呼び出される場所と方法は、対応するカーネル関数で確認できます。プロセスの作成時にコールバックを呼び出す例を以下に示します







。CreateProcessW→NtCreateUserProcess→PspInsertThreadのコールバックループ。つまり、CreateProcessを呼び出した親プロセススレッドによってこれらのコールバックを呼び出します。



•イベントトレースウィンドウ（ETW）。



ETWは、イベントの発生に対して同様に機能します。プロセス作成の例をもう一度見てみましょう。CreateProcessWが呼び出されると、親プロセススレッドは次のアクションを実行します（簡略図）



。CreateProcessW（kernel32.dll）

NtCreateUserProcess（ntdll.dll、カーネルモードに切り替え）

NtCreateUserProcess（ntoskrnl.exe、カーネルモードで動作）

PspInsertThread（コールバックもここで呼び出されます ' i）

EtwTraceProcess

EtwpPsProvTraceProcess

EtwWrite



したがって、親プロセススレッドはETWイベントの直接のイニシエーターです。ネットワークイベントなどの他のイベントの記録は、ほぼ同じように機能します。以下は、ネットワークアクティビティに関連するイベントの作成例です。

EtwpNetProvTraceNetworkコア機能

上記から2つの結論が続きます。

1. SysmonとEDRはどちらも、ネイティブのWindows機能のみを使用してイベントを収集し、信頼性の高い操作を保証します。
2. 攻撃者は、SysmonとEDRの両方に適用される難読化手法を使用する可能性があります。カーネルコールバックは、署名されたドライバーを使用してカーネルメモリにドロップできます。また、説明されているイベントロギングメカニズムを知っていると、Sysmonおよび一部のEDRがプロセスへの特定の注入技術（たとえば、APCを使用）またはPPIDスプーフィングを検出できない理由を理解できます。

Sysmon

Sysmonを使用すると、標準監査の機能を拡張できます。この場合、イベントは別のログに記録されます。Windows Auditingにはないが、Sysmonで利用できる情報の例：

• 起動される実行可能ファイルに関するより詳細な情報（ハッシュ、元の名前、デジタル署名など）。
• ドライバとライブラリのロード。
• Sysmonサービスのステータスを変更する。
• 別のプロセスでスレッドを作成する。
• プロセスへのアクセス。
• 代替データストリームで作成されたファイルのハッシュ。
• パイプの作成。

上記のプロセスを監視することの利点は明らかです（パブリックドメインでさまざまな手法を検出するトピックに関する多くのルールと記事があります）。さらに、よく知られている手法の新しいバリエーションを検出することが可能になります。

1. 別の名前でLOLBinをコピーすることは、プロセス作成イベントのOriginalFileName、Image、およびHashesフィールドの対応によって検出できます。
2. 署名されていないライブラリのロードを検出できます。これにより、DLLハイジャックを検出できる場合があります。
3. 上記のメソッドを使用するか、lsass.exeプロセスへのProcessAccessイベントによって、Mimikatzを検出する可能性があります。

監査は構成ファイルを使用して構成されます。構成ファイルは、ファイル作成およびレジストリイベントの場合、ACLを設定するよりもはるかに便利です。



この場合、次の点を考慮する必要があります。

• 追加のツールの必要性。高度なWindows監査の場合と同様に、イベントはログに記録されるため、Sysmonは他のツール（SIEMなど）と組み合わせて使用​​する必要があります。
• . , Sysmon . .
  
  
  
  , .
• -. , . , Sysmon . : , , .

Sysmonの一部の機能をバイパスする方法については、ここ、ここ、およびここで読むことができます。

エンドポイントの検出と応答

インフラストラクチャのサイズと重要度が大きくなるにつれて、Sysmonの欠陥は重大になります。高品質のEDRにはいくつかの利点があります（製品固有の機能については説明しません）



。1）ログに記録されたイベントの拡張セット

すべては特定の製品によって異なります。たとえば、コマンドラインへのすべての対話型入力のログがあります。これにより、Windows監査でもSysmonでも表示されない手法を検出できます。



調査中に見たMimikatzの使用例を説明する価値があります。リソースに暗号化されたMimikatzを含む実行可能ファイルがあります。正しいパスワードと初期化ベクトルがコマンドラインで渡されると、Mimikatzは正常に復号化し、インタラクティブコマンドラインでコマンドを受け入れます。同時に、プロセス作成イベントにコマンドは表示されません。



次に、インタラクティブ入力をログに記録すると、Mimikatzが再コンパイルされていない場合（この場合、行は変更されていない）、そのようなケースを検出するのに役立ちます。



2）一元化された管理と構成

大規模なインフラストラクチャでは、ヘルスを一元的にチェックし、エージェント設定を変更する機能が重要です。これがないと、応答が数時間、場合によっては数日遅れることがあります。



3）自給自足

ほとんどの場合、EDRは独自のインターフェースを備えた独立した製品であり、他のツールと組み合わせて使用​​するだけでなく、個別に使用することもできます。



独自の検出ルールを作成できる場合があります。利用可能なデータのセットはAdvancedAuditingまたはSysmonのデータよりも大きいため、アナリストはさまざまな攻撃パターンを検出する機会が多くなります。



4）積極的な対応の可能性

インシデント対応中、ほとんどの場合、複数のシステムでアクションを実行する必要性が問題になります。



EDRを使用すると、便利なインタラクティブ形式で多くのアクションを実行できます。

• ファイルとレジストリを操作する
• ネットワーク接続をブロックする
• プロセスを終了する
• ヤラルールでスキャン
• さらに分析するためにアーティファクトを収集します（たとえば、メモリイメージ）
• 上記のすべてをある程度自動化する
• とはるかに。

EDR製品クラスは元々、ホストの監視と応答を提供するために作成されたため、この分野でのこのようなソリューションの欠点は大幅に少なくなっています。それはすべて、特定の製品の機能に依存します。死角もあります。たとえば、ネットワークアクティビティの詳細な分析はありません（NTA / NDR製品によって正常に解決される問題）。



実践によれば、インフラストラクチャにEDRが存在することで、脅威を特定する機能が大幅に拡張されるだけでなく、対応が迅速化され、インシデントの調査が容易になり、イベントの時系列をより正確に再構築できるようになります。Sysmonは中途半端な手段として機能し、バイパスしやすい標準監査が1つしかない場合は、前の記事で説明した異常なアーティファクトなど、情報量の少ないアーティファクトに満足する必要があります。



JSOC CERT、インシデント調査部門、シニア技術調査エンジニア、AskerJamirzeによる投稿