[SC09] パッチ待ちはもう古い！Windows 10 最新セキュリティ技術とゼロデイ攻撃攻防の実例

1. @JSECTEAM https://www.facebook.com/JSECTEAM https://blogs.technet.microsoft.com/jpsecurity/ https://blogs.technet.microsoft.com/YurikaSensei/ https://news.mynavi.jp/itsearch/article/security/1948 https://news.mynavi.jp/itsearch/article/security/1396 2

3. ウイルス対策セキュリティ機能緩和策 4 更新プログラム検出システム

4. 6 侵入完了マルウェア対策起動完了目的達成セキュリティ機能更新プログラム境界領域防御メ｜ルフィルタサイトフィルタリングデ｜タ暗号化インタ｜ネットゾ｜ン警告

5. 現実 7 侵入完了マルウェア対策起動完了目的達成セキュリティ機能更新プログラム境界領域防御メ｜ルフィルタサイトフィルタリングデ｜タ暗号化インタ｜ネットゾ｜ン警告

6. デ｜タ消去仮想化分離ふるまい分析自動遮断脅威自動分析整合性チェック監視発症と活動を抑える 8 侵入完了マルウェア対策起動完了目的達成セキュリティ機能更新プログラム境界領域防御メ｜ルフィルタサイトフィルタリングデ｜タ暗号化緩和策インタ｜ネットゾ｜ン警告

7. 9 SmartScreen ユーザーアカウント制御 Bitlocker/Bitlocker to Go AppLocker Windows Firewall ファイル暗号化インターネットセキュリティ設定 VPN・DirectAccess Windows Security Essentials

8. 10 デバイスガード SmartScreen Windows Defender Antimalware Windows Defender Advanced Threat Protection Credential Guard 悪用コード実行緩和策 UEFI Secure Boot ユーザーアカウント制御 Virtualized Based Security Microsoft Passport リモートワイプ Bitlocker/Bitlocker to Go AppLocker Windows Firewall ファイル暗号化 Windows Defender クラウド保護インターネットセキュリティ設定 VPN・DirectAccess

9. 11 74 88 65 70 75 80 85 90 Windows 10 Windows 8.1

10. 12 2016 年 11 月 STRONTIUM による被害防御 2016 年 11 月 Henkray による韓国での標的型攻撃被害防御 2017 年 3 月 Zirconium による標的型攻撃被害防御

11. 13 デバイスガード SmartScreen Windows Defender Antimalware Windows Defender Advanced Threat Protection Credential Guard 悪用コード実行緩和策 UEFI Secure Boot ユーザーアカウント制御 Virtualized Based Security Microsoft Passport リモートワイプ Bitlocker/Bitlocker to Go AppLocker Windows Firewall ファイル暗号化 Windows Defender クラウド保護インターネットセキュリティ設定 VPN・DirectAccess

12. 14 緩和策名称 Windows 7 Windows 10 Kernel Pool Hardening 〇〇 Kernel ASLR (Images) 〇〇 Fonts (User mode Appcontainer) × 〇 NTVDM disabled × 〇 Kernel ASLR (full) × 〇 Kernel DEP × 〇 Kernel Pool Hardening (Extended) × 〇 SMEP × 〇 Global Safe unlinking × 〇 Improved ASLR entropy × 〇

13. 脆弱性 ①ドキュメント読み込み ②脆弱性悪用の実行 ③任意コードへの処理変更 ④任意コード実行 15

14. 脆弱性 ①ドキュメント読み込み ②脆弱性悪用の実行 ③任意コードへの処理変更 ④任意コード実行 16

15. スタック領域（攻撃前）リターンアドレススタック領域（攻撃前）目的処理のアドレス目的の処理サイズチェック無しで格納 ①上書き ②ジャンプ ③実行 17

16. スタック領域（攻撃前）リターンアドレススタック領域（攻撃前）サイズチェックデータは格納できない 18

17. スタック領域（攻撃前）リターンアドレススタック領域（攻撃前）目的処理のアドレス目的の処理サイズチェック無しで格納改変検知推察防止データ実行防止 19

18. 配置箇所の推察が外れ攻撃失敗攻撃コードデータ領域のため実行失敗 20

19. 21 Kernel Pool Hardening Kernel ASLR (Images) Fonts (User mode apportioned) NTVDM disabled Kernel ASLR (full) Kernel DEP Kernel Pool Hardening (Extended) SMEP Global Safe unlinking Improved ASLR entropy DEP SEHOP ASLR Certificate Pinning Fonts (Block Untrusted) Virtualized Based Security (Hyper Guard) Virtualized Based Security (Kernel Code Integrity) Virtualized Based Security (Credential Guard) Virtualized Based Security (Device Guard) Secure Boot 既定で有効追加可能

20. • 対策が進んでいないアプリやプラグインを標的 22

21. 23

22. 24 Heap metadata hardening Heap metadata hardening (Extended) Heap allocation randomization Heap guard pages AppContainer symbolic link hardening SEHOP Code Integrity Restriction DEP Win32k system call disable restriction NullPage High Entropy ASLR Force ASLR Strick Handle Checks Bottomup ASLR Extension Point Disable LoadLib (Image Load Restriction) Heap terminate on corruption memProt (Dynamic Code Restriction) ASR Fonts (block untrusted) Child Process Restriction 既定で有効追加可能

23. 25

24. 26

25. 27

26. 28 https://technet.microsoft.com/en-us/itpro/powershell/windows/processmitigations/processmitigations

27. 専用のテナントクラウドでの統計セキュリティ業界からの情報 Microsoft 社内のセキュリティ技術者の情報 Microsoft 社内のリサーチ結果 Microsoft Threat Intelligence 29 Windows 10

28. 31

29. 緩和技術保護内容 Structured Exception Handler Overwrite Protection (SEHOP) Final Handler をおくことで、スタックオーバーフロー発生時の例外処理 (SEH) の際の脆弱性を緩和 Dynamic Data Execution Prevention (DEP) メモリの一部を "コードの実行不可能" と設定することで、メモリ上から攻撃コードが実行されるのを防ぐ。バッファーオーバーフロー攻撃などを緩和 Heap Spray Allocation 攻撃に利用されやすいいくつかのメモリを先に確保しておくことで Heap spray の攻撃を緩和 (成功率を下げる) *Heap spray: シェルコードのコピーを可能な限り多くのヒープ領域上におくことで、メモリの割り当てが動的に変化しても、最終的にコード実行の確率を上げる手法 Null Page Allocation メモリの Null ページを先に確保することで、ユーザーモードにおける Null 逆参照のリスクを緩和 Mandatory Address Space Layout Randomization (ASLR) 各モジュールがロードされるアドレスを予測不可能なようにランダム化する技術 Export Address Table Access Filtering (EAF) 攻撃コードが Windows API を確認する際に必要となる Export Address Table の参照を制限することで攻撃を緩和 Bottom-up Randomization ボトムアップ型のメモリ割り当て (ヒープ、スタックなど) のベースアドレス (8 ビット) をランダム化する 33

30. 緩和技術保護内容 Return-Oriented Programming (ROP) Caller checks mitigation: ROP 攻撃に利用される関数が return 命令ではなく call 命令によって正しく呼び出されたかどうかをチェック Execution flow simulation mitigation: ROP 攻撃に利用される関数のリターンアドレスから数個の命令でテストを行い ROP 攻撃がないかチェック Stack pivot mitigation: スタックの位置が不正な位置へ変更されていないかをチェック Special function checks: (Load library checks および Memory protection checks)) : 攻撃者がセキュリティ機能の回避で利用する手法のチェック。リモート経由の LoadLibrary 関数の呼び出しを監視、スタック領域が実行可能に変更されていないかのチェック Advanced Mitigations Deep Hooks: 重要な上くらいの API だけではなくて関連する下くらいの API も監視する (例: kernel32! VirtualAlloc だけではなく Kernelbase! virtualAlloc/ntdll! NtAllocateVirtualMemory も監視) Anti Detours: 関数監視の緩和策を回避する一般的な攻撃コードの動作をチェック。 Banned Functions: 監視対象とする API を追加で構成する 34

[SC09] パッチ待ちはもう古い！Windows 10 最新セキュリティ技術とゼロデイ攻撃攻防の実例

You are reading a preview.

Check these out next

[SC09] パッチ待ちはもう古い！Windows 10 最新セキュリティ技術とゼロデイ攻撃攻防の実例

More Related Content

Slideshows for you (20)

Similar to [SC09] パッチ待ちはもう古い！Windows 10 最新セキュリティ技術とゼロデイ攻撃攻防の実例 (20)

More from de:code 2017 (20)

Recently uploaded (20)