ニュース

「Sysmon」の最新版v13.00がProcess Hollowing/Herpaderping攻撃の検出に対応

トラブルシューティングツール集“Windows Sysinternals”に含まれるシステムモニター

“Tech Community”のリリース記事

 米Microsoftは1月11日(現地時間)、開発者・管理者向けのトラブルシューティングツール“Windows Sysinternals”のアップデートを発表した。「Sysmon」v13.00、「Process Monitor」v3.61、および「PsExec」v2.21がリリースされている。いずれも“Windows Sysinternals”のWebサイトから無償でダウンロード可能。

 「Sysmon」はデバイスドライバーやシステムサービスのログを採取し、「イベント ビューアー」や「Windows PowerShell」などで分析できるようにするコマンドラインツール。メジャーバージョンアップとなる本バージョンでは、プロセスのマッピングされたイメージがディスク上のイメージファイルと一致しないケースや、イメージファイルが排他的アクセスのためにロックされているケースを検出し、プロセスイメージの改竄としてイベントを記録する機能が追加された。これは“Process Hollowing”や“Process Herpaderping”と呼ばれるサイバー攻撃を検知するのに役立つ。

 “Process Hollowing”はプロセスに悪意あるコードを注入するインジェクション攻撃の一種で、正当なプロセスのインスタンスをサスペンド状態で新規作成したのち、そのメモリをアンマップして悪意あるコードに置き換える。実行されたプロセスは一見正当なものだが、それは外側だけで、内部はくり抜かれて虫が食っているような状態であるため、空洞化(Hollowing)と表現されている。

 “Process Herpaderping”も“Process Hollowing”によく似たインジェクション攻撃で、OSによるファイルハンドルの管理とメモリマップ、セキュリティ製品がOSに登録するコールバック処理の実行タイミングといった仕様をうまく組み合わせ、セキュリティ製品によるマルウェア検出を欺く。

 最新版の「Sysmon」は、こうした攻撃を検出してログに記録可能。そのほかにもマイナーなメモリリークの修正などが行われているという。「Process Monitor」ではレジストリ関連のAPI監視が導入され、「PsExec」ではMAX_PATH関連の制限が削除されている。