Trusted Design

T1106 - Native API

概要

Adversaries may interact with the native OS application programming interface (API) to execute behaviors. Native APIs provide a controlled means of calling low-level OS services within the kernel, such as those involving hardware/devices, memory, and processes.(Citation: NT API Windows)(Citation: Linux Kernel API) These native APIs are leveraged by the OS during system boot (when other system components are not yet initialized) as well as carrying out tasks and requests during routine operations.

Adversaries may abuse these OS API functions as a means of executing behaviors. Similar to Command and Scripting Interpreter, the native API and its hierarchy of interfaces provide mechanisms to interact with and utilize various components of a victimized system.

Native API functions (such as NtCreateProcess) may be directed invoked via system calls / syscalls, but these features are also often exposed to user-mode applications via interfaces and libraries.(Citation: OutFlank System Calls)(Citation: CyberBit System Calls)(Citation: MDSec System Calls) For example, functions such as the Windows API CreateProcess() or GNU fork() will allow programs and scripts to start other processes.(Citation: Microsoft CreateProcess)(Citation: GNU Fork) This may allow API callers to execute a binary, run a CLI command, load modules, etc. as thousands of similar API functions exist for various system operations.(Citation: Microsoft Win32)(Citation: LIBC)(Citation: GLIBC)

Higher level software frameworks, such as Microsoft .NET and macOS Cocoa, are also available to interact with native APIs. These frameworks typically provide language wrappers/abstractions to API functionalities and are designed for ease-of-use/portability of code.(Citation: Microsoft NET)(Citation: Apple Core Services)(Citation: MACOS Cocoa)(Citation: macOS Foundation)

Adversaries may use assembly to directly or in-directly invoke syscalls in an attempt to subvert defensive sensors and detection signatures such as user mode API-hooks.(Citation: Redops Syscalls) Adversaries may also attempt to tamper with sensors and defensive tools associated with API monitoring, such as unhooking monitored functions via Disable or Modify Tools.

管理者によるコメント

T1106「Native API」 は、攻撃者がOSの深層部分である 「ネイティブAPI」 を直接呼び出して、悪意のある活動を実行する手法です。

通常、プログラムはOSが用意した「標準的な窓口（高レベルな関数）」を通じますが、攻撃者はそれをバイパスして、OSの「心臓部（低レベルな関数）」に直接命令を下します。

1. 概要

この手法で攻撃者は、「セキュリティ製品の監視をすり抜けた、よりステルス性の高い操作」を実現します。

何を実現できるのか

• 監視のバイパス: 多くのセキュリティソフトは、使い勝手の良い「高レベル関数」を監視していますが、その裏側にある「ネイティブAPI」までは網羅しきれていない場合があります。
• プロセスの操作: 他のプロセス（例えばWebブラウザなど）のメモリに直接アクセスし、悪意のあるコードを注入して実行させます（プロセスインジェクション）。
• 低レベルな権限操作: OSの核心部分に近い関数を叩くことで、防御側が想定していない方法でシステム設定を変更したり、データを盗んだりします。

2. 攻撃の流れ

攻撃者は、マルウェア（C++やC#などで作成）の中から直接OSの関数を呼び出します。

1. ライブラリのロード: Windowsであれば ntdll.dll や kernel32.dll などのシステムライブラリをプログラム内に読み込みます。
2. APIの直接指定: 標準的な関数（例：CreateProcess）ではなく、その裏で動くネイティブな関数（例：NtCreateProcess）を指定します。
3. 悪意ある実行:
   • メモリの確保: NtAllocateVirtualMemory でメモリを確保。
   • コードの書き込み: NtWriteVirtualMemory でマルウェア本体を書き込む。
   • スレッドの開始: NtCreateThreadEx で書き込んだコードを実行させる。
4. 痕跡の最小化: 高レベルなツール（cmdやPowerShell）を介さずバイナリ内部で完結するため、コマンドラインログに一切痕跡を残さずに実行できます。

3. 防御・対策

APIの呼び出し自体は正規の挙動であるため、その「不自然な組み合わせ」を見抜く必要があります。

• EDRによるフック (Hooking): 高レベル関数だけでなく、ネイティブAPI（Nt シリーズなど）を直接監視・記録できる高度なEDR（Endpoint Detection and Response）を導入します。
• 不審な親子関係の監視: 本来 API を叩くはずのないプロセス（メモ帳や電卓など）が、突然メモリ確保やプロセス作成の API を呼び出していないかを監視します。
• 静的・動的解析: 実行ファイル（PEファイル）を解析し、不審なシステム関数がインポートされていないか、実行時に不自然なメモリアクセスをしていないかを確認します。

4. 重要ポイント

• 「窓口を通らない」攻撃: 銀行で言えば、窓口を通らずに直接金庫番に指示を出すようなものです。窓口にいる警備員（セキュリティソフト）は気づくことができません。
• APIフックの回避: セキュリティソフトが関数を監視するために仕掛ける「フック」を、さらにその下の階層（syscall など）を直接叩くことで回避する高度な手法（Syscalls）もこの T1106 に関連します。

5. 関連する主なCWE

• CWE-1106: Invocation of Native Operating System Functionality: ネイティブ機能を直接呼び出すことで、OSが提供するセキュリティポリシーや抽象化層を回避される問題。
• CWE-242: Use of Inherently Dangerous Function: 適切に使用しないと重大な脆弱性（メモリ破壊など）に繋がる危険な関数を直接利用してしまう問題。

6. 関連する代表的なCVE・事例

• Duqu / Stuxnet: 非常に高度なマルウェア。ネイティブAPIを駆使して、セキュリティ製品に検知されることなくカーネルモードでの操作やプロセスインジェクションを行っていました。
• Cobalt Strike: 有名なペネトレーションテストツール。ビーコン（通信プログラム）を実行する際、ネイティブAPIを利用してメモリ上で活動を完結させる「ファイルレス」な手法を標準搭載しています。
• 特定のCVEというよりは: T1106 は脆弱性を突くものではなく、「OSの仕様（API）をどう叩くか」という実装技術であるため、ほぼすべての高度標的型攻撃（APT）におけるマルウェアの実装で使用されています。

実務上のヒント

もし開発やセキュリティ分析を行っているなら、Windowsの ntdll.dll に含まれる Nt... や Zw... で始まる関数がマルウェアの中でどのように使われているかを調べると、この手法の真髄が理解できます。

分析

この攻撃手法を利用する脅威アクター

• Aquatic Panda
• Medusa Group
• TeamTNT
• menuPass
• Magic Hound
• Lazarus Group
• APT5
• APT41

関連する CVE

この攻撃手法に関連する CVE は登録されていません。

攻撃手法 – 脅威アクター Graph

---

← Technique一覧に戻る ← Tactics一覧に戻る