[sc09] パッチ待ちはもう古い!windows 10...
TRANSCRIPT
@JSECTEAM
https://www.facebook.com/JSECTEAM
https://blogs.technet.microsoft.com/jpsecurity/
https://blogs.technet.microsoft.com/YurikaSensei/
https://news.mynavi.jp/itsearch/article/security/1948
https://news.mynavi.jp/itsearch/article/security/1396
2
デ|タ消去
仮想化分離
ふるまい分析
自動遮断
脅威自動分析
整合性チェック
監視
発症と活動を抑える
8
侵入完了
マルウェア対策
起動完了
目的達成
セキュリティ機能
更新プログラム
境界領域防御
メ|ルフィルタ
サイトフィルタリング
デ|タ暗号化
緩和策
インタ|ネットゾ|ン警告
9
SmartScreen
ユーザーアカウント制御 Bitlocker/Bitlocker to Go
AppLocker
Windows Firewall
ファイル暗号化
インターネットセキュリティ設定
VPN・DirectAccess
Windows Security Essentials
10
デバイスガード
SmartScreen
Windows Defender Antimalware
Windows Defender Advanced Threat Protection
Credential Guard
悪用コード実行緩和策
UEFI Secure Boot
ユーザーアカウント制御
Virtualized Based Security
Microsoft Passport
リモートワイプ
Bitlocker/Bitlocker to Go
AppLocker
Windows Firewall
ファイル暗号化
Windows Defender クラウド保護
インターネットセキュリティ設定
VPN・DirectAccess
12
2016 年 11 月
STRONTIUM による 被害 防御2016 年 11 月
Henkray による韓国での標的型攻撃 被害 防御2017 年 3 月
Zirconium による標的型攻撃 被害 防御
13
デバイスガード
SmartScreen
Windows Defender Antimalware
Windows Defender Advanced Threat Protection
Credential Guard
悪用コード実行緩和策
UEFI Secure Boot
ユーザーアカウント制御
Virtualized Based Security
Microsoft Passport
リモートワイプ
Bitlocker/Bitlocker to Go
AppLocker
Windows Firewall
ファイル暗号化
Windows Defender クラウド保護
インターネットセキュリティ設定
VPN・DirectAccess
14
緩和策名称 Windows 7 Windows 10
Kernel Pool Hardening 〇 〇
Kernel ASLR (Images) 〇 〇
Fonts (User mode Appcontainer) × 〇
NTVDM disabled × 〇
Kernel ASLR (full) × 〇
Kernel DEP × 〇
Kernel Pool Hardening (Extended) × 〇
SMEP × 〇
Global Safe unlinking × 〇
Improved ASLR entropy × 〇
21
Kernel Pool Hardening
Kernel ASLR (Images)
Fonts (User mode apportioned)
NTVDM disabled
Kernel ASLR (full)
Kernel DEP
Kernel Pool Hardening (Extended)
SMEP
Global Safe unlinking
Improved ASLR entropy
DEP
SEHOP
ASLR
Certificate Pinning
Fonts (Block Untrusted)
Virtualized Based Security (Hyper Guard)
Virtualized Based Security (Kernel Code
Integrity)
Virtualized Based Security (Credential
Guard)
Virtualized Based Security (Device Guard)
Secure Boot
既定で有効 追加可能
24
Heap metadata hardening
Heap metadata hardening (Extended)
Heap allocation randomization
Heap guard pages
AppContainer symbolic link
hardening
SEHOP Code Integrity Restriction
DEP Win32k system call
disable restriction
NullPage High Entropy ASLR
Force ASLR Strick Handle Checks
Bottomup ASLR Extension Point Disable
LoadLib (Image Load
Restriction)
Heap terminate on
corruption
memProt (Dynamic Code
Restriction)
ASR
Fonts (block untrusted)
Child Process Restriction
既定で有効 追加可能
28
https://technet.microsoft.com/en-us/itpro/powershell/windows/processmitigations/processmitigations
専用のテナント
クラウドでの統計
セキュリティ業界からの情報
Microsoft 社内のセキュリティ技術者の情報
Microsoft 社内のリサーチ結果
Microsoft Threat Intelligence
29
Windows 10
緩和技術 保護内容
Structured Exception Handler Overwrite Protection (SEHOP)
Final Handler をおくことで、スタック オーバーフロー発生時の例外処理 (SEH) の際の脆弱性を緩和
Dynamic Data Execution Prevention (DEP)
メモリの一部を "コードの実行不可能" と設定することで、メモリ上から攻撃コードが実行されるのを防ぐ。バッファー オーバーフロー攻撃などを緩和
Heap Spray Allocation 攻撃に利用されやすいいくつかのメモリを先に確保しておくことでHeap spray の攻撃を緩和 (成功率を下げる)*Heap spray: シェル コードのコピーを可能な限り多くのヒープ領域上におくことで、メモリの割り当てが動的に変化しても、最終的にコード実行の確率を上げる手法
Null Page Allocation メモリの Null ページを先に確保することで、ユーザー モードにおけるNull 逆参照のリスクを緩和
Mandatory Address Space Layout Randomization (ASLR)
各モジュールがロードされるアドレスを予測不可能なようにランダム化する技術
Export Address Table AccessFiltering (EAF)
攻撃コードが Windows API を確認する際に必要となる ExportAddress Table の参照を制限することで攻撃を緩和
Bottom-up Randomization ボトムアップ型のメモリ割り当て (ヒープ、スタックなど) のベース アドレス (8 ビット) をランダム化する
33
緩和技術 保護内容
Return-Oriented Programming (ROP)
Caller checks mitigation: ROP 攻撃に利用される関数が return 命令ではなく call 命令によって正しく呼び出されたかどうかをチェック
Execution flow simulation mitigation: ROP 攻撃に利用される関数のリターン アドレスから数個の命令でテストを行い ROP 攻撃がないかチェック
Stack pivot mitigation: スタックの位置が不正な位置へ変更されていないかをチェック
Special function checks: (Load library checks および Memory protection checks)) : 攻撃者がセキュリティ機能の回避で利用する手法のチェック。リモート経由の LoadLibrary 関数の呼び出しを監視、スタック領域が実行可能に変更されていないかのチェック
Advanced Mitigations Deep Hooks: 重要な上くらいの API だけではなくて関連する下くらいのAPI も監視する (例: kernel32! VirtualAlloc だけではなく Kernelbase! virtualAlloc/ntdll! NtAllocateVirtualMemory も監視)
Anti Detours: 関数監視の緩和策を回避する一般的な攻撃コードの動作をチェック。
Banned Functions: 監視対象とする API を追加で構成する
34