プロセスインジェクション
プロセスインジェクション とは何ですか?
プロセスインジェクション正規プロセスのアドレス空間で悪意のコードを実行し、その信頼と身元を継承する回避手法の総称。
プロセスインジェクションは、攻撃者の制御下にあるコードを他プロセスのメモリへ書き込み、それを実行させて、署名済みまたは想定内のプログラムから発生したように見せかける一連の手法を指します。代表的な亜種に DLL インジェクション、リフレクティブ DLL ロード、Process Hollowing、APC キューインジェクション、スレッドハイジャック、AtomBombing などがあります。目的は防御回避、永続化、権限昇格、認証情報アクセス(例:LSASS メモリの読み取り)などです。MITRE ATT&CK では T1055 と多数のサブテクニックとして整理されます。検知には EDR のプロセス越し API およびメモリ書き込みテレメトリ、カーネルコールバック、Sysmon Event 8 と 10、親子プロセスツリーのベースライン、Credential Guard や Code Integrity といった保護が有効です。
● 例
- 01
Process Hollowing:notepad.exe をサスペンド状態で起動し、イメージをアンマップして悪性ペイロードを書き込み、再開する。
- 02
ビーコンが explorer.exe に APC インジェクションを行い、新規ファイルを落とさず存続する。
● よくある質問
プロセスインジェクション とは何ですか?
正規プロセスのアドレス空間で悪意のコードを実行し、その信頼と身元を継承する回避手法の総称。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。
プロセスインジェクション とはどういう意味ですか?
正規プロセスのアドレス空間で悪意のコードを実行し、その信頼と身元を継承する回避手法の総称。
プロセスインジェクション はどのように機能しますか?
プロセスインジェクションは、攻撃者の制御下にあるコードを他プロセスのメモリへ書き込み、それを実行させて、署名済みまたは想定内のプログラムから発生したように見せかける一連の手法を指します。代表的な亜種に DLL インジェクション、リフレクティブ DLL ロード、Process Hollowing、APC キューインジェクション、スレッドハイジャック、AtomBombing などがあります。目的は防御回避、永続化、権限昇格、認証情報アクセス(例:LSASS メモリの読み取り)などです。MITRE ATT&CK では T1055 と多数のサブテクニックとして整理されます。検知には EDR のプロセス越し API およびメモリ書き込みテレメトリ、カーネルコールバック、Sysmon Event 8 と 10、親子プロセスツリーのベースライン、Credential Guard や Code Integrity といった保護が有効です。
プロセスインジェクション からどのように防御しますか?
プロセスインジェクション に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
● 関連用語
- attacks№ 332
DLL インジェクション
対象の Windows プロセスに攻撃者提供の DLL を強制的にロード・実行させるコードインジェクション手法。
- malware№ 417
ファイルレスマルウェア
ディスク上の従来型実行ファイルを使わず、主にメモリ上で動作して正規のシステムツールを悪用するマルウェア。
- defense-ops№ 298
防御回避(Defense Evasion)
検知を回避し、セキュリティ製品を無効化し、活動を隠すために攻撃者が用いる手法をまとめた MITRE ATT&CK 戦術(TA0005)。
- malware№ 649
マルウェア
コンピュータ、ネットワーク、データを妨害・破壊したり、不正にアクセスしたりする目的で意図的に作成されたソフトウェアの総称。
- defense-ops№ 371
EDR(エンドポイント検知・対応)
プロセス・ファイル・レジストリ・ネットワーク活動を継続的に記録し、エンドポイント上の脅威を検知・調査・対応するエンドポイントセキュリティ技術。
- defense-ops№ 682
Mimikatz
メモリーや LSASS から平文パスワード、ハッシュ、Kerberos チケットなどの認証情報を抽出する、オープンソースの Windows 用ポストエクスプロイト ツール。
● 関連項目
- № 1124Sysmon
- № 964サンドボックスエスケープ
- № 331DLL ハイジャック
- № 610LD_PRELOAD ハイジャック