Trusted Design

T1054 - Indicator Blocking

概要

An adversary may attempt to block indicators or events typically captured by sensors from being gathered and analyzed. This could include maliciously redirecting (Citation: Microsoft Lamin Sept 2017) or even disabling host-based sensors, such as Event Tracing for Windows (ETW),(Citation: Microsoft About Event Tracing 2018) by tampering settings that control the collection and flow of event telemetry. (Citation: Medium Event Tracing Tampering 2018) These settings may be stored on the system in configuration files and/or in the Registry as well as being accessible via administrative utilities such as PowerShell or Windows Management Instrumentation.

ETW interruption can be achieved multiple ways, however most directly by defining conditions using the PowerShell Set-EtwTraceProvider cmdlet or by interfacing directly with the registry to make alterations.

In the case of network-based reporting of indicators, an adversary may block traffic associated with reporting to prevent central analysis. This may be accomplished by many means, such as stopping a local process responsible for forwarding telemetry and/or creating a host-based firewall rule to block traffic to specific hosts responsible for aggregating events, such as security information and event management (SIEM) products.

管理者によるコメント

T1054（Indicator Blocking：インジケーター・ブロッキング）は、攻撃者が自身の活動を隠し、被害者に気づかれないようにするために、セキュリティ製品の検知機能や通知機能を直接妨害する技術です。

1. 概要

Indicator Blockingとは、セキュリティソフト（AV, EDR, IDSなど）やログ収集機能が、「異常」を検知してアラートを出すプロセスを物理的・論理的に遮断する行為です。

攻撃者が実現できること

• アラートの無効化: 悪意のある挙動が検知されても、管理者に通知が飛ばないようにする。
• ログの消失: 調査に不可欠なイベントログやセキュリティログの記録を停止させる。
• 検知エンジンの盲目化: 特定のファイルや通信をスキャン対象から強制的に除外（除外リストへの勝手な登録）させる。

2. 攻撃の流れ

攻撃者は権限を取得した後、以下のような方法でシステムの「目」を塞ぎます。

1. 設定の書き換え:
   • セキュリティソフトの「除外設定（Exclusion）」に、自身の作業ディレクトリやバイナリを登録します。
2. サービス・プロセスの停止:
   • net stop コマンドや TerminateProcess を使い、エンドポイント保護製品のサービスやエージェントを強制終了させます。
3. イベントログの妨害:
   • Windowsイベントログサービスを停止、あるいは特定のログ（Event ID）が書き込まれないようパッチを当てます。
4. 通信の遮断:
   • ローカルファイアウォール（Windows Firewall）の設定を変更し、セキュリティ製品がクラウド上の管理コンソールと通信できないようにします。

3. 防御・対策

• 改ざん防止機能（Tamper Protection）の有効化: モダンなEDR/AVには、自身の設定変更やサービス停止を管理者以外（たとえSYSTEM権限でも）受け付けない保護機能があります。
• 外部ログサーバーへのリアルタイム転送: ログをローカルだけに保存せず、SIEMなどの外部サーバーに即時転送します。「ログが途切れたこと自体」をアラートの対象にします。
• ハートビート監視: セキュリティエージェントからの「生存確認（Heartbeat）」が途絶えた端末を、即座に「感染の疑いあり」として隔離・調査します。
• 最小権限の原則: セキュリティ設定を変更できる権限を厳格に管理します。

4. 重要ポイント

• 「目隠し」の技術: 他の手法（難読化など）が「見つからないように変装する」のに対し、T1054は「相手の目を潰す」というより直接的な攻撃です。
• 検知の空白期間: この手法が成功すると、その後の攻撃（データ窃取など）が完全にノーアラートで行われるため、被害が深刻化しやすくなります。

5. 関連する主なCWE

• CWE-693 (Protection Mechanism Failure): 保護メカニズムの失敗。システムを守るための機能が、意図的に無効化または回避される状況。
• CWE-778 (Insufficient Logging): 不十分なログ記録。攻撃者がログ機能を操作することで、事後の解析が不可能になる脆弱な状態。

6. 関連する代表的なCVE

T1054は「設定変更」や「コマンド操作」で行われることが多いため、特定の脆弱性（CVE）を介さない場合も多いですが、以下の事例が有名です。

• CVE-2020-1533 (Windows Defender): Windows DefenderのAPIを悪用して、スキャンから特定の場所を除外させることが可能だった脆弱性。
• LockBit / Conti (Ransomware): これらのランサムウェアは、実行直後に数百ものサービス（AV, バックアップ, DBなど）を停止させるスクリプトを内蔵しており、T1054の典型的な挙動を示します。
• CVE-2023-24880: Windows SmartScreenをバイパスする脆弱性。警告（インジケーター）が表示されるのを防ぐために悪用されました。

分析

この攻撃手法を利用する脅威アクター

この攻撃手法を利用する脅威アクターは登録されていません。

関連する CVE

• CVE-2015-3043
• CVE-2012-0158
• CVE-2016-0984
• CVE-2016-0998
• CVE-2015-0313
• CVE-2015-0359
• CVE-2015-5130
• CVE-2015-5134
• CVE-2015-5539
• CVE-2015-5557
• CVE-2015-5563
• CVE-2015-5559
• CVE-2015-5540
• CVE-2015-5561
• CVE-2015-5551
• CVE-2015-5564
• CVE-2015-5565
• CVE-2015-5550
• CVE-2015-5566
• CVE-2015-5127
• CVE-2015-5556
• CVE-2015-0311
• CVE-2013-3906
• CVE-2012-4792
• CVE-2015-0336
• CVE-2015-0310
• CVE-2014-9163
• CVE-2014-4148
• CVE-2015-2426
• CVE-2016-4117
• CVE-2017-0001

攻撃手法 – 脅威アクター Graph

---

← Technique一覧に戻る ← Tactics一覧に戻る