Technique - T1177-

T1177 - LSASS Driver

概要

The Windows security subsystem is a set of components that manage and enforce the security policy for a computer or domain. The Local Security Authority (LSA) is the main component responsible for local security policy and user authentication. The LSA includes multiple dynamic link libraries (DLLs) associated with various other security functions, all of which run in the context of the LSA Subsystem Service (LSASS) lsass.exe process. (Citation: Microsoft Security Subsystem)

Adversaries may target lsass.exe drivers to obtain execution and/or persistence. By either replacing or adding illegitimate drivers (e.g., DLL Side-Loading or DLL Search Order Hijacking), an adversary can achieve arbitrary code execution triggered by continuous LSA operations.

管理者によるコメント

T1177「LSASS Driver」 は、Windowsのセキュリティの要である LSASS（Local Security Authority Subsystem Service） プロセスに対して、悪意のある「ドライバー」を読み込ませることで、メモリ内の認証情報（パスワードハッシュなど）を直接盗み取ったり、セキュリティ機能を無効化したりする手法です。

1. 概要

この手法で攻撃者は、「システムの深層部からの、究極の認証情報奪取」を実現します。

何を実現できるのか

パスワードの窃取: LSASSプロセス（ユーザーのログオン情報を管理する場所）に直接介入し、プレーンテキストのパスワードやハッシュ値をリアルタイムで取得します。
検出の回避: 通常のユーザーモードのツール（Mimikatzなど）はEDRによく検知されますが、カーネルレベルのドライバーとして動作することで、監視の目をかいくぐります。
永続的なアクセス: システムが起動するたびにドライバーが読み込まれるように設定し、長期にわたって認証情報を盗み続けます。

2. 攻撃の仕組みと流れ

LSASSは通常、許可されたプログラム以外からのアクセスを厳しく制限していますが、攻撃者は「ドライバー」という特権を利用してその壁を越えます。

ドライバーの準備: LSASSのメモリを読み書きするための悪意のある、あるいは脆弱な正規ドライバーを用意します。
署名のバイパス（DSEバイパス）: Windowsの64bit版では署名のないドライバーは読み込めないため、以下のいずれかを行います。
- 盗んだ証明書で署名する。
- BYOVD (Bring Your Own Vulnerable Driver): 脆弱性のある「正規のドライバー」を悪用して、カーネル権限でコードを実行します。
LSASSへの注入: ドライバーをロードし、LSASSプロセスのメモリ空間にアクセスして認証情報を抽出します。
情報の持ち出し: 抽出した情報をファイルに保存したり、ネットワーク越しに攻撃者へ送信したりします。

3. 防御・対策

カーネルレベルの攻撃を防ぐには、OSの根本的な保護機能を活用する必要があります。

LSA Protection の有効化: LSASSを「保護されたプロセス（PPL）」として実行します。これにより、管理者権限であっても、適切な署名のないプロセスやドライバーからのアクセスを拒否できます。
Credential Guard の導入: 仮想化ベースのセキュリティ（VBS）を使用して、LSASSの情報をOSから隔離されたメモリ領域（Secure World）に保存します。これにより、カーネルが侵害されても認証情報を守れます。
ドライバーの署名強制とブロックリスト: 署名のないドライバーのロードを禁止し、Microsoftが提供する「脆弱なドライバーのブロックリスト」を有効化してBYOVD攻撃を防ぎます。
EDRによるカーネル監視: ドライバーのロードイベント（Event ID 6 など）を監視し、身元不明なドライバーや、既知の攻撃ツールに関連するドライバーが読み込まれていないかを確認します。

4. 重要ポイント

「最高権限」の戦い: ドライバーとして動作するということは、OSそのものと同じ権限（Ring 0）で動くことを意味します。この階層まで侵入されると、一般的なアプリケーション形式のセキュリティソフトは無力化される恐れがあります。
BYOVD攻撃の増加: 攻撃者は自分でドライバーを作るのではなく、古いマザーボードやグラフィックボードの「脆弱な正規ドライバー」を悪用して侵入するケースが増えています。

5. 関連する主なCWE

CWE-287: Improper Authentication: 認証プロセス自体を改ざんし、不正なアクセスを可能にする不備。
CWE-782: Exposed IOCTL with Insufficient Access Control: ドライバーの通信窓口（IOCTL）の保護が甘く、一般ユーザーからカーネル操作を許してしまう不備。

6. 関連する代表的な事例

Mimikatz (mimidrv.sys): 最も有名な認証情報奪取ツール。付属のドライバーを使用することで、LSA Protectionを回避してメモリを読み取ることができます。
Lazarus (APTグループ): 北朝鮮背景とされる攻撃グループ。ゲーム関連の脆弱なドライバーを悪用してセキュリティソフトを無効化し、LSASSから情報を盗む手法（BYOVD）を多用することで知られています。
Slingshot: ルーターのドライバーを標的にし、カーネルモードで動作する非常に高度なスパイウェア。長期間にわたり検知されずに潜伏しました。

実務上のヒント

最新のWindowsであれば、「Windows Defender Credential Guard」 を有効にすることが、この T1177 に対する最も強力な対抗策となります。これが有効な環境では、たとえカーネル権限を奪われても、パスワードハッシュを直接盗み出すことは極めて困難になります。

分析

この攻撃手法を利用する脅威アクター

攻撃手法 – 脅威アクター Graph

← Technique一覧に戻る ← Tactics一覧に戻る

Trusted Design