O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.
@JSECTEAM
https://www.facebook.com/JSECTEAM
https://blogs.technet.microsoft.com/jpsecurity/
https://blogs.technet.microsof...
3
ウ
イ
ル
ス
対
策
セ
キ
ュ
リ
テ
ィ
機
能
緩
和
策
4
更
新
プ
ロ
グ
ラ
ム
検
出
シ
ス
テ
ム
6
侵
入
完
了
マ
ル
ウ
ェ
ア
対
策
起
動
完
了
目
的
達
成
セ
キ
ュ
リ
テ
ィ
機
能
更
新
プ
ロ
グ
ラ
ム
境
界
領
域
防
御
メ
|
ル
フ
ィ
ル
タ
サ
イ
ト
フ
ィ
ル
タ
リ
ン
グ
デ
|
タ
...
現実
7
侵
入
完
了
マ
ル
ウ
ェ
ア
対
策
起
動
完
了
目
的
達
成
セ
キ
ュ
リ
テ
ィ
機
能
更
新
プ
ロ
グ
ラ
ム
境
界
領
域
防
御
メ
|
ル
フ
ィ
ル
タ
サ
イ
ト
フ
ィ
ル
タ
リ
ン
グ
デ
|...
デ
|
タ
消
去
仮
想
化
分
離
ふ
る
ま
い
分
析
自
動
遮
断
脅
威
自
動
分
析
整
合
性
チ
ェ
ッ
ク
監
視
発症と活動を抑える
8
侵
入
完
了
マ
ル
ウ
ェ
ア
対
策
起
動
完
了
目
的
達
成
セ
...
9
SmartScreen
ユーザーアカウント制御 Bitlocker/Bitlocker to Go
AppLocker
Windows Firewall
ファイル暗号化
インターネットセキュリティ設定
VPN・DirectAccess
Wi...
10
デバイスガード
SmartScreen
Windows Defender Antimalware
Windows Defender Advanced
Threat Protection
Credential Guard
悪用コード実行緩和...
11
74
88
65
70
75
80
85
90
Windows 10 Windows 8.1
12
2016 年 11 月
STRONTIUM による
被害 防御
2016 年 11 月
Henkray による韓国での標的型攻撃 被害 防御
2017 年 3 月
Zirconium による標的型攻撃 被害 防御
13
デバイスガード
SmartScreen
Windows Defender Antimalware
Windows Defender Advanced
Threat Protection
Credential Guard
悪用コード実行緩和...
14
緩和策名称 Windows 7 Windows 10
Kernel Pool Hardening 〇 〇
Kernel ASLR (Images) 〇 〇
Fonts (User mode Appcontainer) × 〇
NTVDM ...
脆弱性
①ドキュメント読み込み
②脆弱性悪用の実行
③任意コードへの
処理変更
④任意コード実行
15
脆弱性
①ドキュメント読み込
み
②脆弱性悪用の実行
③任意コードへの処理変更
④任意コード実行
16
スタック領域(攻撃前)
リターンアドレス
スタック領域(攻撃前)
目的処理のアドレス
目的の処理
サイズチェック無し
で格納
①上書き
②ジャンプ
③実行
17
スタック領域(攻撃前)
リターンアドレス
スタック領域(攻撃前)
サイズチェック
データは
格納できない
18
スタック領域(攻撃前)
リターンアドレス
スタック領域(攻撃前)
目的処理のアドレス
目的の処理
サイズチェック無し
で格納
改変検知
推察防止
データ実行
防止
19
配置箇所の推察が
外れ攻撃失敗
攻撃コード
データ領域
のため実行失敗
20
21
Kernel Pool Hardening
Kernel ASLR (Images)
Fonts (User mode apportioned)
NTVDM disabled
Kernel ASLR (full)
Kernel DEP
K...
• 対策が進んでいない
アプリやプラグインを標的
22
23
24
Heap metadata hardening
Heap metadata hardening (Extended)
Heap allocation randomization
Heap guard pages
AppContainer ...
25
26
27
28
https://technet.microsoft.com/en-us/itpro/powershell/windows/processmitigations/processmitigations
専用のテナント
クラウドでの統計
セキュリティ業界
からの情報
Microsoft 社内の
セキュリティ技術者の情報
Microsoft 社内の
リサーチ結果
Microsoft Threat Intelligence
29
Windows 10
31
緩和技術 保護内容
Structured Exception Handler
Overwrite Protection (SEHOP)
Final Handler をおくことで、スタック オーバーフロー発生時の例外処
理 (SEH) の際の脆弱...
緩和技術 保護内容
Return-Oriented Programming
(ROP)
Caller checks mitigation: ROP 攻撃に利用される関数が return 命令で
はなく call 命令によって正しく呼び出されたか...
© 2017 Microsoft Corporation. All rights reserved.
本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。35
[SC09] パッチ待ちはもう古い!Windows 10 最新セキュリティ技術とゼロデイ攻撃攻防の実例
[SC09] パッチ待ちはもう古い!Windows 10 最新セキュリティ技術とゼロデイ攻撃攻防の実例
[SC09] パッチ待ちはもう古い!Windows 10 最新セキュリティ技術とゼロデイ攻撃攻防の実例
[SC09] パッチ待ちはもう古い!Windows 10 最新セキュリティ技術とゼロデイ攻撃攻防の実例
Próximos SlideShares
Carregando em…5
×

[SC09] パッチ待ちはもう古い!Windows 10 最新セキュリティ技術とゼロデイ攻撃攻防の実例

村木 由梨香
日本マイクロソフト株式会社
セキュリティ レスポンス チーム
セキュリティ プログラム マネージャー

脆弱性はセキュリティ アップデート待ち、はもう古い。Windows やインストールしているアプリケーションに脆弱性はあっても攻撃の被害に遭わない技術が大きく進歩しているのをご存知ですか。
最新の Windows 10 に実装されているセキュリティ アーキテクチャはどのように実現してるのか、実際に発生したゼロデイ攻撃を Windows 10 はどのように防いだのか解説します。

製品/テクノロジ: Windows/アーキテクチャ/エンタープライズ モビリティ/セキュリティ

  • Entre para ver os comentários

[SC09] パッチ待ちはもう古い!Windows 10 最新セキュリティ技術とゼロデイ攻撃攻防の実例

  1. 1. @JSECTEAM https://www.facebook.com/JSECTEAM https://blogs.technet.microsoft.com/jpsecurity/ https://blogs.technet.microsoft.com/YurikaSensei/ https://news.mynavi.jp/itsearch/article/security/1948 https://news.mynavi.jp/itsearch/article/security/1396 2
  2. 2. 3
  3. 3. ウ イ ル ス 対 策 セ キ ュ リ テ ィ 機 能 緩 和 策 4 更 新 プ ロ グ ラ ム 検 出 シ ス テ ム
  4. 4. 6 侵 入 完 了 マ ル ウ ェ ア 対 策 起 動 完 了 目 的 達 成 セ キ ュ リ テ ィ 機 能 更 新 プ ロ グ ラ ム 境 界 領 域 防 御 メ | ル フ ィ ル タ サ イ ト フ ィ ル タ リ ン グ デ | タ 暗 号 化 イ ン タ | ネ ッ ト ゾ | ン 警 告
  5. 5. 現実 7 侵 入 完 了 マ ル ウ ェ ア 対 策 起 動 完 了 目 的 達 成 セ キ ュ リ テ ィ 機 能 更 新 プ ロ グ ラ ム 境 界 領 域 防 御 メ | ル フ ィ ル タ サ イ ト フ ィ ル タ リ ン グ デ | タ 暗 号 化 イ ン タ | ネ ッ ト ゾ | ン 警 告
  6. 6. デ | タ 消 去 仮 想 化 分 離 ふ る ま い 分 析 自 動 遮 断 脅 威 自 動 分 析 整 合 性 チ ェ ッ ク 監 視 発症と活動を抑える 8 侵 入 完 了 マ ル ウ ェ ア 対 策 起 動 完 了 目 的 達 成 セ キ ュ リ テ ィ 機 能 更 新 プ ロ グ ラ ム 境 界 領 域 防 御 メ | ル フ ィ ル タ サ イ ト フ ィ ル タ リ ン グ デ | タ 暗 号 化 緩 和 策 イ ン タ | ネ ッ ト ゾ | ン 警 告
  7. 7. 9 SmartScreen ユーザーアカウント制御 Bitlocker/Bitlocker to Go AppLocker Windows Firewall ファイル暗号化 インターネットセキュリティ設定 VPN・DirectAccess Windows Security Essentials
  8. 8. 10 デバイスガード SmartScreen Windows Defender Antimalware Windows Defender Advanced Threat Protection Credential Guard 悪用コード実行緩和策 UEFI Secure Boot ユーザーアカウント制御 Virtualized Based Security Microsoft Passport リモートワイプ Bitlocker/Bitlocker to Go AppLocker Windows Firewall ファイル暗号化 Windows Defender クラウド保護 インターネットセキュリティ設定 VPN・DirectAccess
  9. 9. 11 74 88 65 70 75 80 85 90 Windows 10 Windows 8.1
  10. 10. 12 2016 年 11 月 STRONTIUM による 被害 防御 2016 年 11 月 Henkray による韓国での標的型攻撃 被害 防御 2017 年 3 月 Zirconium による標的型攻撃 被害 防御
  11. 11. 13 デバイスガード SmartScreen Windows Defender Antimalware Windows Defender Advanced Threat Protection Credential Guard 悪用コード実行緩和策 UEFI Secure Boot ユーザーアカウント制御 Virtualized Based Security Microsoft Passport リモートワイプ Bitlocker/Bitlocker to Go AppLocker Windows Firewall ファイル暗号化 Windows Defender クラウド保護 インターネットセキュリティ設定 VPN・DirectAccess
  12. 12. 14 緩和策名称 Windows 7 Windows 10 Kernel Pool Hardening 〇 〇 Kernel ASLR (Images) 〇 〇 Fonts (User mode Appcontainer) × 〇 NTVDM disabled × 〇 Kernel ASLR (full) × 〇 Kernel DEP × 〇 Kernel Pool Hardening (Extended) × 〇 SMEP × 〇 Global Safe unlinking × 〇 Improved ASLR entropy × 〇
  13. 13. 脆弱性 ①ドキュメント読み込み ②脆弱性悪用の実行 ③任意コードへの 処理変更 ④任意コード実行 15
  14. 14. 脆弱性 ①ドキュメント読み込 み ②脆弱性悪用の実行 ③任意コードへの処理変更 ④任意コード実行 16
  15. 15. スタック領域(攻撃前) リターンアドレス スタック領域(攻撃前) 目的処理のアドレス 目的の処理 サイズチェック無し で格納 ①上書き ②ジャンプ ③実行 17
  16. 16. スタック領域(攻撃前) リターンアドレス スタック領域(攻撃前) サイズチェック データは 格納できない 18
  17. 17. スタック領域(攻撃前) リターンアドレス スタック領域(攻撃前) 目的処理のアドレス 目的の処理 サイズチェック無し で格納 改変検知 推察防止 データ実行 防止 19
  18. 18. 配置箇所の推察が 外れ攻撃失敗 攻撃コード データ領域 のため実行失敗 20
  19. 19. 21 Kernel Pool Hardening Kernel ASLR (Images) Fonts (User mode apportioned) NTVDM disabled Kernel ASLR (full) Kernel DEP Kernel Pool Hardening (Extended) SMEP Global Safe unlinking Improved ASLR entropy DEP SEHOP ASLR Certificate Pinning Fonts (Block Untrusted) Virtualized Based Security (Hyper Guard) Virtualized Based Security (Kernel Code Integrity) Virtualized Based Security (Credential Guard) Virtualized Based Security (Device Guard) Secure Boot 既定で有効 追加可能
  20. 20. • 対策が進んでいない アプリやプラグインを標的 22
  21. 21. 23
  22. 22. 24 Heap metadata hardening Heap metadata hardening (Extended) Heap allocation randomization Heap guard pages AppContainer symbolic link hardening SEHOP Code Integrity Restriction DEP Win32k system call disable restriction NullPage High Entropy ASLR Force ASLR Strick Handle Checks Bottomup ASLR Extension Point Disable LoadLib (Image Load Restriction) Heap terminate on corruption memProt (Dynamic Code Restriction) ASR Fonts (block untrusted) Child Process Restriction 既定で有効 追加可能
  23. 23. 25
  24. 24. 26
  25. 25. 27
  26. 26. 28 https://technet.microsoft.com/en-us/itpro/powershell/windows/processmitigations/processmitigations
  27. 27. 専用のテナント クラウドでの統計 セキュリティ業界 からの情報 Microsoft 社内の セキュリティ技術者の情報 Microsoft 社内の リサーチ結果 Microsoft Threat Intelligence 29 Windows 10
  28. 28. 31
  29. 29. 緩和技術 保護内容 Structured Exception Handler Overwrite Protection (SEHOP) Final Handler をおくことで、スタック オーバーフロー発生時の例外処 理 (SEH) の際の脆弱性を緩和 Dynamic Data Execution Prevention (DEP) メモリの一部を "コードの実行不可能" と設定することで、メモリ上か ら攻撃コードが実行されるのを防ぐ。バッファー オーバーフロー攻撃な どを緩和 Heap Spray Allocation 攻撃に利用されやすいいくつかのメモリを先に確保しておくことで Heap spray の攻撃を緩和 (成功率を下げる) *Heap spray: シェル コードのコピーを可能な限り多くのヒープ領域上にお くことで、メモリの割り当てが動的に変化しても、最終的にコード実行の確 率を上げる手法 Null Page Allocation メモリの Null ページを先に確保することで、ユーザー モードにおける Null 逆参照のリスクを緩和 Mandatory Address Space Layout Randomization (ASLR) 各モジュールがロードされるアドレスを予測不可能なようにランダム化 する技術 Export Address Table Access Filtering (EAF) 攻撃コードが Windows API を確認する際に必要となる Export Address Table の参照を制限することで攻撃を緩和 Bottom-up Randomization ボトムアップ型のメモリ割り当て (ヒープ、スタックなど) のベース ア ドレス (8 ビット) をランダム化する 33
  30. 30. 緩和技術 保護内容 Return-Oriented Programming (ROP) Caller checks mitigation: ROP 攻撃に利用される関数が return 命令で はなく call 命令によって正しく呼び出されたかどうかをチェック Execution flow simulation mitigation: ROP 攻撃に利用される関数の リターン アドレスから数個の命令でテストを行い ROP 攻撃がないか チェック Stack pivot mitigation: スタックの位置が不正な位置へ変更されていな いかをチェック Special function checks: (Load library checks および Memory protection checks)) : 攻撃者がセキュリティ機能の回避で利用する手法の チェック。リモート経由の LoadLibrary 関数の呼び出しを監視、スタック 領域が実行可能に変更されていないかのチェック Advanced Mitigations Deep Hooks: 重要な上くらいの API だけではなくて関連する下くらいの API も監視する (例: kernel32! VirtualAlloc だけではなく Kernelbase! virtualAlloc/ntdll! NtAllocateVirtualMemory も監視) Anti Detours: 関数監視の緩和策を回避する一般的な攻撃コードの動作を チェック。 Banned Functions: 監視対象とする API を追加で構成する 34
  31. 31. © 2017 Microsoft Corporation. All rights reserved. 本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。35

×