Trusted Design

T1036 - Masquerading

概要

Adversaries may attempt to manipulate features of their artifacts to make them appear legitimate or benign to users and/or security tools. Masquerading occurs when the name or location of an object, legitimate or malicious, is manipulated or abused for the sake of evading defenses and observation. This may include manipulating file metadata, tricking users into misidentifying the file type, and giving legitimate task or service names.

Renaming abusable system utilities to evade security monitoring is also a form of Masquerading.(Citation: LOLBAS Main Site)

管理者によるコメント

T1036（Masquerading：マスカレード/偽装）は、攻撃者が自身のファイル、プロセス、またはディレクトリの名前や場所を、正当なものに見せかけてユーザーや管理者の目を欺く技術です。

1. 概要

Masqueradingとは、一言で言えば「擬態」です。システム上の怪しい動きを、OSの一部や信頼されたアプリケーションの活動であるかのように錯覚させます。

攻撃者が実現できること

• 不審感の払拭: タスクマネージャーに malware.exe があれば即座にバレますが、svchost.exe であれば見逃される可能性が高まります。
• セキュリティ製品のホワイトリスト回避: 特定の名前（例: setup.exe）やパス（例: C:\Windows\Temp）を検査から除外している設定を悪用します。
• 権限昇格やユーザー操作の誘導: 信頼できるアイコンや拡張子を装い、ユーザーにファイルを実行させます。

2. 攻撃の流れ

攻撃者は、主に以下の5つのような方法で「偽装」を行います。

1. 名前の偽装:
   • システムプロセス名に似せる（例: lsass.exe の代わりに lsas.exe を使用）。
2. パスの偽装 (Right-to-Left Override):
   • 特殊な制御文字（U+202E）を使用して、ファイル拡張子を逆に表示させる（例: test_exe.doc が実際には test_cod.exe）。
3. 信頼されたディレクトリへの配置:
   • C:\Windows\System32 などの正規のディレクトリに似せた場所や、一時フォルダにファイルを置く。
4. スペース（空白）の悪用:
   • 名前の末尾にスペースを入れ、標準的なツールでパスを正しく認識させない（例: cmd.exe）。
5. メタデータの偽装:
   • ファイルのプロパティ（製品名、会社名、著作権情報）に「Microsoft Corporation」などを書き込む。

3. 防御・対策

• 署名の検証: ファイル名ではなく、デジタル署名が有効かどうかを確認します。正規のシステムファイルはMicrosoftの署名がありますが、偽装ファイルにはありません。
• パスの実行制限: C:\Users\Public や C:\Windows\Temp などの一時ディレクトリからの実行ファイル起動を制限（AppLockerやASRルール）します。
• プロセスの親子関係の監視: 例えば svchost.exe は通常 services.exe から起動されます。それ以外の不自然なプロセス（例: ブラウザ）から起動されている場合は偽装の疑いがあります。
• ハッシュ値による比較: ファイル名が正規のものであっても、ハッシュ値（SHA-256）を計算し、既知の正常なファイルと一致するか確認します。

4. 重要ポイント

• 「心理的」な攻撃: システムを直接壊すのではなく、人間（運用者）の「svchostなら大丈夫だろう」という油断を突く攻撃です。
• 他の手法との組み合わせ: 前述の T1027（難読化）や T1014（ルートキット）と組み合わされることで、さらに検知が困難になります。

5. 関連する主なCWE

• CWE-706 (Use of Incorrectly-Resolved Name or Reference): 名前の解決ミス。OSやアプリが、偽装された名前を正当なものとして誤って処理してしまうことに関連します。
• CWE-451 (User Interface (UI) Misrepresentation of Critical Information): ユーザーインターフェースにおける重要情報の誤表示。拡張子の偽装などでユーザーを騙す行為が該当します。

6. 関連する代表的なCVE

T1036自体は「名前の付け方」のテクニックであるため、CVEよりも攻撃グループの活動で目立ちます。

• SolarWinds攻撃 (UNC2452): 攻撃者はバックドアを OIP_Logon.dll や SolarWinds.Orion.Core.BusinessLayer.dll といった、いかにも正規に見える名前で配置しました。
• CVE-2020-1464: Windowsのファイル署名検証の脆弱性。攻撃者が偽装したファイルに不正に署名を付与し、「信頼された発行元」に見せかけることが可能でした。
• Stuxnet: 非常に多くの「正規に見えるドライバ名」を使用し、長期間の潜伏を実現しました。

分析

この攻撃手法を利用する脅威アクター

この攻撃手法を利用する脅威アクターは登録されていません。

関連する CVE

この攻撃手法に関連する CVE は登録されていません。

攻撃手法 – 脅威アクター Graph

---

← Technique一覧に戻る ← Tactics一覧に戻る