プロセスインジェクション
プロセスインジェクション とは何ですか?
プロセスインジェクション正規プロセスのアドレス空間で悪意のコードを実行し、その信頼と身元を継承する回避手法の総称。
プロセスインジェクションは、攻撃者の制御下にあるコードを他プロセスのメモリへ書き込み、それを実行させて、署名済みまたは想定内のプログラムから発生したように見せかける一連の手法を指します。代表的な亜種に DLL インジェクション、リフレクティブ DLL ロード、Process Hollowing、APC キューインジェクション、スレッドハイジャック、AtomBombing などがあります。目的は防御回避、永続化、権限昇格、認証情報アクセス(例:LSASS メモリの読み取り)などです。MITRE ATT&CK では T1055 と多数のサブテクニックとして整理されます。検知には EDR のプロセス越し API およびメモリ書き込みテレメトリ、カーネルコールバック、Sysmon Event 8 と 10、親子プロセスツリーのベースライン、Credential Guard や Code Integrity といった保護が有効です。
● 例
- 01
Process Hollowing:notepad.exe をサスペンド状態で起動し、イメージをアンマップして悪性ペイロードを書き込み、再開する。
- 02
ビーコンが explorer.exe に APC インジェクションを行い、新規ファイルを落とさず存続する。
● よくある質問
プロセスインジェクション とは何ですか?
正規プロセスのアドレス空間で悪意のコードを実行し、その信頼と身元を継承する回避手法の総称。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。
プロセスインジェクション とはどういう意味ですか?
正規プロセスのアドレス空間で悪意のコードを実行し、その信頼と身元を継承する回避手法の総称。
プロセスインジェクション からどのように防御しますか?
プロセスインジェクション に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。