Zig Strike によるレッド・チーム支援:次世代ペイロードの生成と AV/XDR/EDR の回避

Zig Strike – An Offensive Toolkit to Create Payloads and Bypass AV, XDR/EDR Detections

2025/06/30 CyberSecurityNews — 研究者のための OSS 攻撃用ツールキット Zig Strike は、アンチウイルス (AV) /次世代型アンチウイルス (NGAV) /エンドポイント検知&対応 (XDR/EDR) などの、高度なセキュリティ・ソリューションを回避するよう設計されたものだ。最新のプログラミング言語 Zig を活用する、このツールキットは、レッドチームの能力を大きく進化させるものであり、Microsoft Defender for Endpoint (MDE) さえも回避していく、高度なペイロードを生成する。

概要
  1. Zig ベースのツールキット Zig Strike は、AV/XDR/EDR などのセキュリティ・システムを回避するペイロードを生成する。
  2. ステルス実行を成功させるために、スレッド・ハイジャックやメモリマッピングなどの、4つのインジェクション技術が採用されている。
  3. コンパイル時の難読化/Base64 エンコーディング/サンドボックス回避機能などにより、検出を回避する。
  4. Web インターフェイスを介した DLL および Excel Add-Inペイロード生成が可能であり、レッドチーム機能を強化する。
高度なペイロード注入と回避技術

Zig Strike は、さまざまな攻撃シナリオ向けに設計された、4種類のインジェクション手法を実装している。

  • ローカル・スレッド注入:作成されたスレッドをハイジャックし、ダミー関数のコールバック経由でペイロードを実行、Windows API のアドレス上で関数書き換えを行う。
    .
  • リモート・スレッド・ハイジャック:リモート・プロセス内の既存のスレッドを標的とし、GetThreadContext および SetThreadContext API を利用して、シェルコードへ向けてインストラクション・ポインター (RIP) を変更する。
    .
  • ローカル・マッピング:Windows のファイル・マッピング API である CreateFileMappingW や MapViewOfFile などを活用する技術であり、実行可能なメモリ領域の割り当てを可能にする。それにより、通常であれば EDR ソリューションが検出する、不審なメモリ・パターンを大幅に減少させる。
    .
  • リモート・マッピング:ローカル・マッピングの概念を拡張するものであり、MapViewOfFileNuma2 API を用いたクロス・プロセス・インジェクションにより、シェルコードをリモート・プロセスのアドレス空間にマッピングする。

KPMG の Zig は、comptime 機能を活用することにより、実行時のパフォーマンスとステルス性を向上させている。さらに、Zig Strike はシェルコードを細かく分割し、Base64 でエンコードした UTF-16 のワイド文字列として “.rdata” セクションに格納することで、静的解析エンジンによる検出を困難にしている。

このシステムは、Trusted Platform Module (TPM) チェックやドメイン参加検証などのアンチ・サンドボックス・メカニズムを実装することで、仮想化環境での動的解析を防止している。

これらの手法を用いるペイロードは、自動化されたセキュリティ分析システムを回避し、企業における正規の環境でのみ実行されるようになる。

Zig Strike が生成するペイロードには、32/64 Bit アーキテクチャに対応する DLL (Dynamic Link Libraries) や、Microsoft Office 統合用の Excel アドイン (XLL) などの、複数の形式が存在する。

特に、Excel の信頼されたアドイン機能を悪用する XLL 形式は、ASR (Attack Surface Reduction) ルールを回避するのに非常に効果的である。

このツールキットには、Python ベースの Web インターフェイスが備わっており、視覚的なコンパイル通知や簡単なエクスポート機能を介した、ペイロードの動的なカスタマイズが可能となっている。

今後のリリースでは、さらなる回避能力の向上が見込まれている。具体的には、直接的/間接的なシステム・コールの使用、および、追加のインジェクション手法、そして、スリープ状態の難読化といった機能が導入される予定だ。

現代のサイバー・セキュリティ環境の進化する脅威に対抗する組織にとって、多層防御戦略とセキュリティ態勢の継続的なアップデートが、きわめて重要であることを、Zig Strike の展開が示している。

Zig Strike という、新たなレッドチーム・ツールが登場したとのことです。最新のプログラミング言語 Zig を使い、高度なセキュリティ対策をすり抜ける仕組みを備えていると、この記事は伝えています。どのようにしてセキュリティを回避するのかという点が、興味深いですね。よろしければ、カテゴリ SecTools も ご参照ください。