Trusted Design

T1089 - Disabling Security Tools

概要

Adversaries may disable security tools to avoid possible detection of their tools and activities. This can take the form of killing security software or event logging processes, deleting Registry keys so that tools do not start at run time, or other methods to interfere with security scanning or event reporting.

管理者によるコメント

T1089「Disabling Security Controls」（セキュリティ制御の無効化） は、攻撃者が自分の活動を検出されないようにするため、あるいはマルウェアの実行を妨げられないようにするために、システムに備わっている防御機能を力ずく、あるいは設定変更によって無効化する手法です。

1. 概要

この手法で攻撃者は、防御側（EDR、アンチウイルス、ログ収集ツールなど）の「目」と「手」を奪うことを実現します。

• 何を実現できるのか:
  • マルウェアの検知・隔離の阻止（アンチウイルス停止）。
  • 攻撃ログの生成を停止し、証拠を残さない。
  • ファイアウォールを無効化してC2サーバーとの通信を自由にする。
  • サンドボックス環境の検出・回避。

2. 攻撃の流れ

攻撃者は、管理者権限を取得した直後、またはマルウェアのペイロードを実行する直前に以下の操作を行います。

1. プロセスの停止: タスクマネージャーやコマンド（taskkillなど）を使用して、セキュリティ製品のプロセスを強制終了させます。
2. サービスの無効化: sc config コマンドやレジストリ操作を通じて、アンチウイルス等のサービスがOS起動時に立ち上がらないように設定を変更します。
3. 構成変更（除外設定）: アンチウイルスを止めるのではなく、特定のフォルダ（例：C:\temp）を「スキャン対象外」に設定し、そこにマルウェアを隠します。
4. ドライバのアンロード: 脆弱性のある古い正規ドライバを悪用してカーネル空間に侵入し、EDRの監視ドライバをメモリ上から直接削除します（BYOVD攻撃）。

3. 防御・対策

セキュリティソフトそのものが攻撃対象になるため、製品自体の「自己防衛機能」が重要です。

• 改ざん防止機能（Tamper Protection）の有効化: 管理者権限であっても、特定のレジストリ変更やサービスの停止を拒否する機能を有効にします。
• 「デッドマン・スイッチ」の監視: セキュリティログの転送が突然途絶えた、あるいはEDRのプロセスが消失したことを、ネットワーク上の別の監視サーバーで検知してアラートを上げます。
• 最小権限の原則: 攻撃者がセキュリティ設定を変更できないよう、日常的なアカウントにローカル管理者権限を与えないようにします。
• BYOVD対策: Windowsの「ドライバブロックリスト」を最新に保ち、既知の脆弱性を持つドライバの読み込みを制限します。

4. 重要ポイント

• 攻撃の「前提条件」: 多くのセキュリティ機能を無効化するには、ローカル管理者権限（またはSYSTEM権限）が必要です。そのため、この手法は他の権限昇格テクニックと組み合わせて使われます。
• 「無効化」そのものが異常: 正常な運用でアンチウイルスを止めたりログをオフにしたりすることは極めて稀であるため、これが発生した瞬間を捉えることが最大の防御になります。

5. 関連する主なCWE

• CWE-693: Protection Mechanism Failure (保護メカニズムの失敗): システムが備えるべき防御機能が、意図した通りに動作しなくなっている状態。
• CWE-732: Incorrect Permission Assignment for Critical Resource (重要リソースに対する不適切な権限割り当て): 攻撃者がセキュリティ設定ファイルを書き換えられる権限を持ててしまうこと。

6. 関連する代表的なCVE

セキュリティ製品の不備や、ドライバの脆弱性を突いて無効化を行う際に CVE が関係します。

• CVE-2023-36884: Officeの脆弱性を利用してセキュリティ機能をバイパスし、ペイロードを実行する。
• CVE-2019-16098: Micro-Star MSI Afterburnerドライバの脆弱性。攻撃者がこの脆弱なドライバを故意にインストールし、カーネルメモリを書き換えてEDRを無効化する（BYOVD攻撃）によく悪用されます。
• CVE-2021-1647: Windows Defenderの脆弱性。アンチウイルス機能そのものの弱点を突いて検知を回避します。

補足: T1089は、近年のランサムウェア攻撃（LockBitやContiなど）において、暗号化を開始する前の「必須ステップ」として必ずと言っていいほど実行されています。

分析

この攻撃手法を利用する脅威アクター

• Chimera
• Cinnamon Tempest
• MuddyWater
• Velvet Ant
• RTM
• Tonto Team
• Patchwork
• Whitefly
• Aquatic Panda
• GALLIUM
• Higaisa
• APT32
• Storm-1811
• Evilnum
• Tropic Trooper
• Earth Lusca
• LuminousMoth
• BRONZE BUTLER
• APT3
• BlackTech
• FIN13
• Mustang Panda
• SideCopy
• Daggerfly
• Naikon
• Lazarus Group
• Threat Group-3390
• BackdoorDiplomacy
• APT19
• Sidewinder
• APT41
• menuPass

関連する CVE

• CVE-2015-1770
• CVE-2014-6332
• CVE-2012-0158
• CVE-2012-4792
• CVE-2014-1776
• CVE-2010-0806

攻撃手法 – 脅威アクター Graph

---

← Technique一覧に戻る ← Tactics一覧に戻る