ウィルス対策ソフトが機能しないとき、あなたはどうする -後編-
Tech Note
前編では、①ほぼすべてのウィルス対策ソフトをバイパスする手法が存在すること、②その手法がOSプロテクト型では全く機能しないこと、の二点を説明しましたがいかがでしたか?
後編では実際に検証した結果とAppGuardが提供する効果をご紹介します。
公表された手法で筆者が利用しているOSプロテクト型AppGuardが攻撃ツールとなり得るのか、AppGuard自身を無効化できるのか、実際に試してみました。
AppGuardを攻撃ツールに出来るか試してみた
最初に“Proof of Concept – Windows”に公開されていたバッチファイル(test.bat)を起動してみたところ、AppGuardがバッチファイル(test.bat)の起動をブロックしたログが表示されました。(画面A)
<画面Aのログ>
このブロックログはデスクトップ(c:\users\appguard\desktop)に配置されたtest.batの起動を阻止(Prevent)したことを示しています。バッチ処理を実行するスクリプトが起動できなかったため、このままでは重要なファイルをリンクさせる操作が出来ない、つまり攻撃ツールとして利用できないことが確認できました。
検証を継続するため、意図的にバッチファイルが起動できるようAppGuardの設定情報を変更し、さらにバッチファイル(test.bat)を実行ファイル(test.exe)に偽装しました。攻撃の起点を想定してバッチのコマンドライン(cmd.exe)から実行ファイル (test.exe)を呼び出す方法を試したところ、AppGuardがtest.exeのプロセス起動をブロックしたログが表示されました。(画面B)
<画面Bのログ>
このログに表示されている
この防御メカニズムによってAppGuardを攻撃ツールとして利用することは極めて難しいことがわかりました。
AppGuardを無効化できるか試してみた
攻撃ツールとして利用できないので、AppGuardの重要なファイルを削除または置き換えることによって無効化することが出来るか試してみます。
前編で説明したとおり、AppGuardはマルウェアの検知や駆除する動作をしないため攻撃が成立することはありません。しかし、ウィルス検知ソフトと併用していた場合には、この脆弱性を利用してAppGuardの重要ファイルを削除することが出来てしまうかもしれません。そこで設定情報が保存されているポリシーファイル(brnpolicy.xml)をアップデートする瞬間にファイルのリンクが変更できるか試してみました。
その結果、AppGuard自身がポリシーファイルの置き換えをブロックすることが確認できました。(画面C)
これはAppGuardの改ざん処理防止を利用した自己保護機能によって重要なファイルの書き換えをブロックしているためです。(図2)
OSプロテクト型のAppGuardには検知型ウィルス対策ソフトに共通の脆弱性が存在せず攻撃ツールとして利用できないこと、この脆弱性を使ってAppGuardを無効化することができないことがわかりました。
未知の脅威に備えるために
本ブログで取り上げた未知の脅威は、公開される前にその対処方法を確立していたため被害が出ることはありませんでした。しかし、これまでの常識を覆す未知の脅威がいつ出現するかわかりません。そのため従来の検知によるウィルス対策に加えて、パソコンへの攻撃を確実に阻止する仕組みが有効です。AppGuardの防御メカニズムは、ウィルス対策ソフトに対する未知の脆弱性を利用される前に阻止してしまうのです。(図3)
今、世界中で新型コロナウィルスが猛威を振るっています。各国が感染拡大を抑えるために外出制限など懸命の努力を続けています。出現してしまった未知のウィルスに対するワクチン、治療薬が開発されて、一日も早く感染被害が収束することを切望しています。
サイバー空間でのこれまでの常識が全く通用しない未知の脅威へ備えるため、またこれまで以上にテレワーク環境の安全を守るため、AppGuardを使ってみてはいかがでしょうか?
2020年5月22日
株式会社Blue Planet-works
Chief Product Officer
坂尻浩孝
AppGuardで感染対策を!
