Technique - T1559-

T1559 - Inter-Process Communication

概要

Adversaries may abuse inter-process communication (IPC) mechanisms for local code or command execution. IPC is typically used by processes to share data, communicate with each other, or synchronize execution. IPC is also commonly used to avoid situations such as deadlocks, which occurs when processes are stuck in a cyclic waiting pattern.

Adversaries may abuse IPC to execute arbitrary code or commands. IPC mechanisms may differ depending on OS, but typically exists in a form accessible through programming languages/libraries or native interfaces such as Windows Dynamic Data Exchange or Component Object Model. Linux environments support several different IPC mechanisms, two of which being sockets and pipes.(Citation: Linux IPC) Higher level execution mediums, such as those of Command and Scripting Interpreters, may also leverage underlying IPC mechanisms. Adversaries may also use Remote Services such as Distributed Component Object Model to facilitate remote IPC execution.(Citation: Fireeye Hunting COM June 2019)

管理者によるコメント

T1559「Inter-Process Communication」（プロセス間通信） は、OS上で動作する異なるプログラム（プロセス）同士がデータをやり取りする仕組みを悪用して、コードを実行したり情報を盗んだりする手法です。

攻撃者は、あるプログラムから別のプログラムに対して「これを実行せよ」という命令を送るための「公式な連絡通路」を乗っ取ります。

1. 概要

この手法で攻撃者は、「正規の通信基盤に紛れ込んだ、プロセスの境界を越える操作」を実現します。

何を実現できるのか

検知の回避: 攻撃者が自前の怪しいプログラムを直接動かすのではなく、信頼された既存のプロセス（エクスプローラーやシステムサービスなど）に対して命令を送るため、セキュリティ監視の目を盗みやすくなります。
権限の壁の突破: 低い権限で動いているプログラムから、より高い権限（SYSTEMなど）で動いているプロセスに対してIPC経由で命令を送り、結果として特権を得ることができます。

2. 主なサブテクニック

IPCには複数の方式があり、それぞれ異なる手法として分類されています。

T1559.001: Component Object Model (COM)

Windowsのソフトウェア部品同士を繋ぐ技術です。 * 攻撃: 特定のCOMオブジェクトを呼び出し、その機能を悪用してコードを実行します（T1154のハイジャックとも密接に関係します）。

T1559.002: Dynamic Data Exchange (DDE)

古いWindowsのデータ共有プロトコルです。 * 攻撃: Office文書（WordやExcel）からDDE経由で他のアプリ（cmd.exeなど）を起動させます（T1173として知られていた手法です）。

T1559.003: XPC

macOSにおける高機能なプロセス間通信です。 * 攻撃: 権限の高いシステムプロセスが公開しているXPCインターフェースに不備がある場合、一般ユーザーがそこへメッセージを送り、特権昇格やファイル操作を行わせます。

3. 攻撃の流れ

攻撃者は、OSが提供する「正規の窓口」を利用します。

ターゲットプロセスの特定: 通信を受け付けている（待ち受けている）プロセスや、特定の通信規格（COM/DDE/XPC）をサポートしているアプリを特定します。
細工したメッセージの送信: ターゲットが「正しい依頼」だと誤認するような、悪意のある命令を含むメッセージをIPCチャンネルに送り込みます。
命令の実行: 受信したプロセス（多くの場合、高権限または信頼されたプロセス）が、その命令を自身の権限で実行してしまいます。
結果の受領: 実行結果（盗んだデータなど）をIPC経由で受け取ります。

4. 防御・対策

「誰が誰に命令を送っているか」という通信の妥当性を検証することが重要です。

アクセス制御リスト (ACL) の厳格化: COMオブジェクトやIPCチャンネルにアクセスできるユーザーやプロセスを、必要最小限に制限します。
EDRによるプロセス間挙動の監視: 「WordがDDE経由でコマンドプロンプトを叩いた」といった、不自然なアプリケーション間の呼び出し（Cross-Process Activity）を検知・遮断します。
入力値の検証: プログラム開発において、外部（IPC）から受け取ったメッセージをそのまま実行コマンドとして使わず、厳格にバリデーション（検証）します。
DDEの無効化: 使用していない古いプロトコル（DDEなど）をレジストリ設定で無効化します。

5. 重要ポイント

「隠れみの」としてのIPC: 攻撃プロセスが直接悪いことをするのではなく、正規プロセスを「操り人形」のように動かすため、フォレンジック調査が難しくなります。
権限昇格の温床: サービスとして動く高権限プロセスが、IPCからの入力を盲目的に信じてしまう実装ミスは、重大な脆弱性に直結します。

6. 関連する代表的なCWE・事例

CWE-420: Unprotected Alternate Channel: 認証されていないユーザーがアクセスできるIPCチャンネルが存在する問題。
CWE-269: Improper Privilege Management: IPCを通じて上位権限の操作を許してしまう不備。
事例: かつての Emotet はDDE（T1559.002）を悪用してマクロなしでの感染を広げました。また、macOSのセキュリティ研究では、XPC（T1559.003） の実装不備を突いたルート権限奪取の手法が頻繁に報告されています。

調査のアドバイス

インシデント分析において、特定のプロセス（例：winword.exe）の引数に DDE や DDEAUTO という文字列が含まれていたり、不自然なCOMオブジェクトの生成（CoCreateInstance）が記録されている場合は、この T1559 を疑うべきです。

分析

この攻撃手法を利用する脅威アクター

この攻撃手法を利用する脅威アクターは登録されていません。

攻撃手法 – 脅威アクター Graph

← Technique一覧に戻る ← Tactics一覧に戻る

Trusted Design