Stealth Syscall Technique Allows Hackers to Evade Event Tracing and EDR Detection
2025/06/02 gbhackers — 最新のセキュリティ・インフラである、Event Tracing for Windows (ETW)/Sysmon Monitoring/Endpoint Detection and Response (EDR) を巧みに回避する、洗練されたステルス・システム・コール実行手法を、高度な脅威アクターたちが開発しているという。これらの手法は、コール・スタック・スプーフィング/ETW API フック/暗号化されたシステム・コール実行などの回避手法を組み合わせることで、従来の検出メカニズムを無効化するものであり、サイバー・セキュリティ防御者にとって大きな課題となっている。
これらのステルス手法のコアは、標準の Windows API 関数ではなく、動的に割り当てられるヒープ・メモリを介して、間接的にシステム・コールを実行するところにある。
セキュリティ研究者たちが記録したのは、攻撃を実行している脅威アクターが、ntdll.dll からシステム・コール番号を動的に解決し、XOR 暗号演算を用いてシステムコール・スタブを暗号化し、実行の直前に復号する方法である。
このアプローチは、疑わしい動作を監視する EDR ソリューションが、標準の Windows API に配置するユーザー・モード・フックを効果的に回避する。
この暗号化手法で作成されるのは、標準的なシステム・コールのセットアップのための “mov r10, rcx” と、それに続く “mov eax, syscallNumber”、そして実際のシステムコール命令を取り込んだシステムコール・スタブである。
これらのスタブは、”0x5A” などのキーで暗号化され、ヒープ領域に割り当てられたメモリに格納されるため、IDA Pro や Ghidra などの静的解析ツールによる、パターン認識では効果的に検出できない。
このような動的な性質を持つ暗号化されたスタブは、実行中のほんの一瞬だけ復号化された形で存在するため、セキュリティ・ツールによるメモリ内の既知のシステム・コール・パターンでは検出できない。
コールスタック操作
現時点で確認されていることは、高度な攻撃者たちが、Vectored Exception Handlers (VEH) を用いた真のスタック・スプーフィング手法を実装し、脅威の検出のためにセキュリティ・ツールが利用する、コール・スタック・トレースを隠蔽していることだ。
サイバー・スパイ集団 APT41 は実証したのは、正規の操作を模倣する偽のコール・スタックを構築する専門知識を有していることだ。それにより、悪意のアクティビティの特定に、コール・スタック分析を利用する EDR システムの回避に成功している。
この手法では、スレッド・コンテキスト・レコードを操作し、実行フローをリダイレクトし、正常なプログラム動作の外観を維持している。
ハードウェア・ブレークポイント・スプーフィングは、これらの回避手法のもう一つの重要な要素である。
この攻撃者は、x64dbg や WinDbg などのデバッガが、有効なブレーク・ポイントを設定できないようにするために、デバッグ・レジスタ Dr0 から、Dr7 を体系的にクリアしている。
スレッド・コンテキスト・フラグを変更し、これらのハードウェア・レジスタをゼロに設定することで、セキュリティ研究者や自動分析システムが頻繁に使用する、デバッガ・ベースの検出メカニズムをトリガーすることなく、悪意のコードを実行できる。
ETW (Event Tracing for Windows) の無効化
最も懸念されるのは、関数の直接的なパッチ適用により、Event Tracing for Windows が体系的に無効化されていることだろう。
この攻撃者は、NtTraceEvent 関数の最初の命令を、単純な return (RET) 命令に置き換えるパッチ適用により、ETW のログ機能を無効化する方法を開発した。
この手法は、MITRE ATT&CK フレームワークの T1562.001 “防御の妨害:ツールの無効化または変更” に該当し、検出を回避する攻撃者が、セキュリティ監視を無効化する方式に分類される。
DarkRelay のレポートによると、ETW 無効化プロセスでは、暗号化されたシステム・コール・スタブを悪用して NtTraceEvent 関数のメモリ保護を変更し、実行/書込を可能にした後に、0xC3 byte (RET 命令) で関数にパッチを適用する。
このアプローチは、通常において Sysmon などのツールが検出する、不審なアクティビティのシステム全体のログ記録を阻止し、セキュリティ監視インフラに大きな盲点を作り出す。
したがって、これらの高度なステルス手法は、従来のセキュリティ検出方法にとって大きな脅威となる。
暗号化されたシステムコール実行/スタック・スプーフィング/ハードウェア・ブレーク・ポイントのクリアに加えて、ETW の無効化といった要素の組み合わせが示すのは、攻撃者の能力の進化である。したがって、防御側にとって必要なことは、より高度な検出メカニズムの開発となる。
セキュリティ専門家に要求されるのは、これらの手法の理解と、コール・スタック検査や ETW ログだけに頼らない、行動分析を取り込んだ効果的な対策の策定である。そのためには、代替的な侵害指標を通じて、これらの回避策を特定する多層的な検出戦略を実装する必要がある。
脅威アクターたちの手口が、ますます巧妙化しているようです。ETW や EDRといった最新のセキュリティ技術を回避するために、暗号化やスタック操作など複数の回避手法を組み合わせている点に驚かされます。検出が難しい技術が使われており、防御側も従来の方法だけでは対応が難しくなるのかもしれませんね。
IoT OT Security News 
You must be logged in to post a comment.