Technique - T1006-

T1006 - Direct Volume Access

概要

Adversaries may directly access a volume to bypass file access controls and file system monitoring. Windows allows programs to have direct access to logical volumes. Programs with direct access may read and write files directly from the drive by analyzing file system data structures. This technique may bypass Windows file access controls as well as file system monitoring tools. (Citation: Hakobyan 2009)

Utilities, such as NinjaCopy, exist to perform these actions in PowerShell.(Citation: Github PowerSploit Ninjacopy) Adversaries may also use built-in or third-party utilities (such as vssadmin, wbadmin, and esentutl) to create shadow copies or backups of data from system volumes.(Citation: LOLBAS Esentutl)

管理者によるコメント

1. 概要

T1006のDirect Volume Accessとは、攻撃者がOSの標準的なファイルシステムAPI（Windowsでの読込・書込制限など）を回避し、ハードディスクなどのストレージデバイスに直接アクセスする手法です。

攻撃者が実現できること

権限のバイパス: 通常、OSによって保護されているファイル（NTDS.dit、レジストリハイブなど）へのアクセス。
EDR/アンチウイルスの回避: ファイルシステム層での監視をすり抜け、低レイヤーでデータを読み書きする。
痕跡の隠蔽: タイムスタンプの改ざんや、ファイルシステム外の未割り当て領域へのデータ隠蔽。

2. 攻撃の流れ

通常、この攻撃は管理者権限を持つプロセスによって実行されます。

ハンドル取得: CreateFile 関数などを使用して、論理ドライブ（例: \\.\C:）や物理ドライブ（例: \\.\PhysicalDrive0）へのダイレクトハンドルを取得します。
読み書きの実行: ファイルAPIではなく、デバイスドライバを介した低レベルな読み書きを行います。
アーティファクトの抽出: 例として、Active Directoryの認証情報が含まれる NTDS.dit を、OSがロックしている状態であってもボリュームから直接コピーして持ち出します。

3. 防御・対策

低レベルなアクセスであるため、従来のファイル監視だけでは不十分です。

特権の制限: そもそもこの操作にはローカル管理者権限が必要です。最小権限の原則（PoLP）を徹底し、不要な管理者権限を排除します。
EDRによるAPI監視: CreateFile や DeviceIoControl がデバイス（\\.\）に対して不審な呼び出しを行っていないか監視します。
アクセス制御の強化: Windowsの「保護されたプロセス」や、攻撃表面の縮小（ASR）ルールを活用します。
オフライン解析の防止: BitLockerなどのフルディスク暗号化（FDE）は、OS外からの物理的な直接アクセスに対して有効です。

4. 重要ポイント

「鍵がかかったドア」を無視して「壁を壊す」行為: ファイルシステムのアクセス許可（ACL）はドアの鍵のようなものですが、T1006は壁（ディスクセクタ）を直接壊して中身を見るような手法です。
フォレンジックツールの悪用: 本来は調査用のツール（FTK Imagerなど）が、攻撃者によってこの手法を自動化するために悪用されることがあります。

実際の攻撃シーンでは、MimikatzやRawCopyといったツールがこのT1006の手法を用いて、パスワードハッシュが保存されたファイルを「使用中（ロック中）」の状態から強制的に読み取る際によく使われます。

5. 関連する主なCWE

この攻撃は、ソフトウェアの脆弱性というよりは、「システムの設計上の仕様」を悪用するものですが、関連の深い弱性として以下が挙げられます。

CWE-285 (Improper Authorization): 不適切な認可。特定のプロセスが低レベルデバイスへアクセスすることを防げない状態。
CWE-732 (Incorrect Permission Assignment for Critical Resource): 重要なリソースに対する不適切な許可。デバイスオブジェクトへのアクセス権限設定に不備がある場合。

6. 関連する代表的なCVE

T1006そのものは「手法」であるため、特定の脆弱性番号（CVE）と1対1で対応するわけではありません。しかし、この手法を補助したり、この手法によって悪用されるケースには以下のようなものがあります。

CVE-2021-36934 (HiveNightmare / SeriousSAM): レジストリハイブ（SAM/SYSTEM）のアクセス権限不備。T1006と組み合わせて、通常アクセスできない秘密情報を抽出する際に注目されました。
CVE-2022-24521: Windows共通ログファイルシステム（CLFS）の脆弱性。特権昇格後に、T1006のような手法を用いてカーネル空間やデバイスに干渉する起点となります。
CVE-2020-0601: Windows CryptoAPIの脆弱性。署名検証を回避し、信頼されたツールを装ってデバイスへの直接操作を行う可能性がありました。

分析

この攻撃手法を利用する脅威アクター

この攻撃手法を利用する脅威アクターは登録されていません。

攻撃手法 – 脅威アクター Graph

← Technique一覧に戻る ← Tactics一覧に戻る

Trusted Design