Trusted Design

T1055 - Process Injection

概要

Adversaries may inject code into processes in order to evade process-based defenses as well as possibly elevate privileges. Process injection is a method of executing arbitrary code in the address space of a separate live process. Running code in the context of another process may allow access to the process's memory, system/network resources, and possibly elevated privileges. Execution via process injection may also evade detection from security products since the execution is masked under a legitimate process.

There are many different ways to inject code into a process, many of which abuse legitimate functionalities. These implementations exist for every major OS but are typically platform specific.

More sophisticated samples may perform multiple process injections to segment modules and further evade detection, utilizing named pipes or other inter-process communication (IPC) mechanisms as a communication channel.

管理者によるコメント

T1055（Process Injection：プロセスインジェクション）は、攻撃者が自身の悪意のあるコードを、既に実行されている他の正常なプロセス（例: explorer.exe, svchost.exe）のメモリ空間に注入して実行させる高度な技術です。

1. 概要

Process Injectionは、自身の独立したプロセスとして動くのではなく、他人のプロセスに「寄生」して活動する手法です。

攻撃者が実現できること

• 検知の回避: タスクマネージャー等には正常なプロセス（ブラウザやシステムツール）しか表示されないため、一見して異常に気づけません。
• 権限の継承: SYSTEM権限などで動作しているプロセスにコードを注入することで、自身もその高い権限で動作できるようになります。
• パーソナルファイアウォールの突破: ネットワーク通信が許可されているプロセス（例: chrome.exe）にインジェクションすれば、通信制限を回避して外部と通信できます。

2. 攻撃の流れ

最も一般的な「DLL注入（DLL Injection）」の例を挙げます。

1. ターゲットの特定: 注入先となる正常なプロセスのID（PID）を取得します。
2. メモリ領域の確保: VirtualAllocEx 関数などを使用して、ターゲットプロセスのメモリ内にコードを書き込むための空き地を作ります。
3. コードの書き込み: WriteProcessMemory を使い、その空き地に悪意のあるDLLのパスやシェルコードを書き込みます。
4. 実行のキック: CreateRemoteThread などを呼び出し、ターゲットプロセス内で新しいスレッドを作成して、書き込んだコードを実行させます。

3. 防御・対策

• API監視: CreateRemoteThread や OpenProcess といった、プロセス間操作に使われる特定のWindows APIの不自然な呼び出しをEDRで監視します。
• メモリ保護技術: Windowsの「Arbitrary Code Guard (ACG)」や「Remote Thread Guard」などの機能を有効にし、動的なコード生成や外部からのスレッド作成を制限します。
• プロセスツリーの分析: 正常なプロセスが通常行わないような挙動（例: lsass.exe が突然外部のIPアドレスと通信を開始するなど）を検知します。
• 署名なしコードの実行制限: 実行時にメモリ上で展開されるコードに正当な署名がない場合、実行をブロックします。

4. 重要ポイント

• 「隠れみの」の究極形: 攻撃者が自分の姿を消し、信頼されているプログラムの影に隠れて活動するため、非常にステルス性が高いです。
• 多種多様な亜種: DLLインジェクションだけでなく、Process Hollowing（中身を入れ替える）や Thread Execution Hijacking（既存のスレッドを乗っ取る）など、多くの派生手法が存在します。

5. 関連する主なCWE

• CWE-77 (Improper Neutralization of Special Elements used in a Command): コマンド注入。入力値の検証不備からプロセス操作に繋がるケース。
• CWE-285 (Improper Authorization): 不適切な認可。あるプロセスが別のプロセスのメモリを操作できる権限設定の不備。
• CWE-822 (Untrusted Pointer Dereference): 注入された不正なポインタが実行されることに関連。

6. 関連する代表的なCVE

T1055はOSの標準機能を悪用する技術ですが、これを容易にする脆弱性や悪用事例が多数存在します。

• Cobalt Strike / Metasploit: 侵入テストツールですが、これらが標準機能としてプロセスインジェクションを実装しており、実際のサイバー攻撃で多用されます。
• CVE-2020-0601: Windows CryptoAPIの脆弱性。これを悪用して署名検証を回避し、偽装したDLLを信頼されたプロセスにロードさせる手法が議論されました。
• WannaCry / NotPetya: これらのランサムウェアは、初期侵入後にシステムプロセス（lsass.exe など）にインジェクションを行い、感染を広める活動を隠蔽しました。

分析

この攻撃手法を利用する脅威アクター

この攻撃手法を利用する脅威アクターは登録されていません。

関連する CVE

• CVE-2014-4114
• CVE-2015-5119
• CVE-2015-5122
• CVE-2015-1427
• CVE-2015-1770
• CVE-2012-1856
• CVE-2015-2545
• CVE-2015-2546
• CVE-2014-6332
• CVE-2015-3785
• CVE-2015-5897
• CVE-2015-7645
• CVE-2017-0199
• CVE-2017-12149
• CVE-2015-3043
• CVE-2015-3090
• CVE-2010-1553
• CVE-2015-3113
• CVE-2015-2590
• CVE-2015-2424
• CVE-2015-5477
• CVE-2015-0097
• CVE-2015-4495
• CVE-2012-0158
• CVE-2014-1761
• CVE-2015-2502
• CVE-2014-6271
• CVE-2014-4113
• CVE-2015-8562
• CVE-2015-7808
• CVE-2012-1889
• CVE-2016-1990
• CVE-2016-1010
• CVE-2016-1019
• CVE-2016-0984
• CVE-2016-1001
• CVE-2016-0998
• CVE-2015-1641
• CVE-2015-1701
• CVE-2015-0313
• CVE-2015-0359
• CVE-2014-0329
• CVE-2015-5130
• CVE-2015-5134
• CVE-2015-5539
• CVE-2015-5557
• CVE-2015-5563
• CVE-2015-5559
• CVE-2015-5540
• CVE-2015-5561
• CVE-2015-5551
• CVE-2015-5564
• CVE-2015-5565
• CVE-2015-5550
• CVE-2015-5566
• CVE-2015-5127
• CVE-2015-5556
• CVE-2015-5749
• CVE-2015-2852
• CVE-2015-2854
• CVE-2015-2853
• CVE-2015-7755
• CVE-2012-4969
• CVE-2016-1898
• CVE-2016-1897
• CVE-2016-1287
• CVE-2015-6585
• CVE-2015-7261
• CVE-2015-6036
• CVE-2015-8286
• CVE-2015-8287
• CVE-2016-1562
• CVE-2016-2342
• CVE-2016-2343
• CVE-2017-0263
• CVE-2017-0261
• CVE-2017-0262
• CVE-2016-6532
• CVE-2016-9494
• CVE-2017-3212
• CVE-2025-55182
• CVE-2015-0016
• CVE-2011-3544
• CVE-2014-7911
• CVE-2014-4322
• CVE-2013-6282
• CVE-2015-3105
• CVE-2017-17215
• CVE-2013-0074
• CVE-2012-0507
• CVE-2010-0188
• CVE-2012-4681
• CVE-2014-0556
• CVE-2012-1876
• CVE-2015-0057
• CVE-2012-2539
• CVE-2013-3660
• CVE-2010-2884
• CVE-2015-2360
• CVE-2014-4148
• CVE-2011-3402
• CVE-2010-2883
• CVE-2013-0634
• CVE-2013-2678
• CVE-2010-0738
• CVE-2015-2426
• CVE-2008-1436
• CVE-2010-0232
• CVE-2010-4398
• CVE-2012-6422
• CVE-2013-2595
• CVE-2014-2273
• CVE-2015-2387
• CVE-2011-0611
• CVE-2017-8570
• CVE-2012-0611
• CVE-2015-2419
• CVE-2016-0189
• CVE-2017-0001
• CVE-2017-0143
• CVE-2025-24893
• CVE-2025-31125
• CVE-2025-34026
• CVE-2025-54313

攻撃手法 – 脅威アクター Graph

---

← Technique一覧に戻る ← Tactics一覧に戻る