System Binary Proxy Execution|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. System Binary Proxy Execution
             

System Binary Proxy Execution

System Binary Proxy Execution(システムバイナリプロキシ実行)は、攻撃者がWindowsやLinuxのようなオペレーティングシステムに元から備わっているシステムバイナリ(コマンドやプログラム)を悪用し、不正なコードを実行する手法を指します。攻撃者は、これらの信頼されたバイナリを「プロキシ(代理)」として使用することで、検出を回避しつつマルウェアの展開やデータの窃取などを行います。この手法は、セキュリティ製品や監視システムにとって信頼されている正規バイナリを利用するため、通常のマルウェアよりも検出が難しいという特徴を持ちます。

たとえば、Windowsのrundll32.exemshta.exe、Linuxのbashコマンドなどは、システムバイナリとしてよく使われるプロキシの一例です。

System Binary Proxy Executionの主な手法

攻撃者がよく利用する主なシステムバイナリには、以下のようなものがあります。

  1. rundll32.exe(Windows)
    rundll32.exeは、Windowsでダイナミックリンクライブラリ(DLL)を実行するためのバイナリです。攻撃者はこのバイナリを利用し、不正なDLLを実行させてシステムに侵入したり、マルウェアを展開したりします。
  2. mshta.exe(Windows)
    mshta.exeは、HTMLアプリケーション(.htaファイル)を実行するバイナリです。攻撃者は、悪意のあるHTAファイルをmshta.exe経由で実行し、リモートからのコマンド実行やスクリプトの実行を行います。
  3. certutil.exe(Windows)
    certutil.exeは、証明書管理用のユーティリティですが、ファイルをエンコードおよびデコードする機能があるため、攻撃者はこれを利用してリモートからマルウェアをダウンロードして実行します。
  4. powershell.exe(Windows)
    PowerShellは、強力な管理用スクリプト環境ですが、攻撃者がリモートコードのダウンロード、実行、ファイル操作などに悪用することが多々あります。
  5. bash(Linux)
    Linuxのシステムバイナリであるbashは、シェルスクリプトを実行するための環境ですが、攻撃者がバックドアを設置したり、システム設定を変更したりするために悪用します。
  6. wget、curl(Linux)
    wgetcurlは、リモートサーバーからのファイルダウンロードを可能にするLinuxバイナリです。攻撃者はこれを使用し、マルウェアをリモートからダウンロードしてインストールします。

System Binary Proxy Executionの目的

System Binary Proxy Executionを使用する目的には以下が含まれます:

  1. セキュリティ検知の回避
    正規のシステムバイナリを使用するため、アンチウイルスやセキュリティ監視ツールが不正な活動と見なさないケースが多く、検知を回避するために利用されます。
  2. 持続的アクセス(Persistence)
    システムバイナリは通常削除されず、システム起動時に自動実行されるため、攻撃者は持続的なアクセスを確保しやすくなります。
  3. リモートコード実行
    攻撃者は、これらのバイナリを使ってリモートサーバーと通信し、追加のコマンドを実行したり、マルウェアをダウンロード・展開したりすることができます。

System Binary Proxy Executionの被害リスク

System Binary Proxy Executionがシステムに与えるリスクには、以下のようなものがあります:

  1. マルウェアの展開とデータの窃取
    攻撃者はこれらのバイナリを通じて、マルウェアをシステム内に展開したり、機密情報を盗み出したりすることが可能です。
  2. ランサムウェアの展開
    System Binary Proxy Executionは、ランサムウェア攻撃の初期段階で悪用され、攻撃者は感染システムへのアクセスを確立してからランサムウェアを展開します。
  3. バックドアの設置
    攻撃者はシステムバイナリを利用して、システム内にバックドアを作成し、長期にわたって侵入を続けることが可能です。

System Binary Proxy Executionに対する防御策

System Binary Proxy Executionを防ぐためには、次のようなセキュリティ対策が効果的です:

  1. アプリケーションホワイトリストの設定
    AppLocker(Windows)やEndpoint Security Toolsを使用して、許可されたアプリケーションやコマンド以外が実行されないようホワイトリストを設定します。
  2. システムバイナリの監視とログの分析
    rundll32.exemshta.exeなどのバイナリの実行ログを収集し、不審な使用がないか監視します。通常使用されないシステムバイナリのアクセスがあった場合、異常としてアラートを上げる設定を行います。
  3. PowerShellの制御とスクリプト制限
    PowerShell実行ポリシーを制限し、リモートからのスクリプト実行を防ぐことで、不正なPowerShellコマンドが使用されるリスクを減らします。
  4. EPP/EDRツールの活用
    エンドポイントセキュリティ(EPP)やエンドポイント検出・対応(EDR)ツールを導入し、不審なシステムバイナリの使用や通信をリアルタイムで監視・対応します。
  5. 従業員教育とフィッシング対策
    システムバイナリが悪用される初期段階として、フィッシングやスパムメールからの感染が多いため、従業員向けにフィッシング対策やセキュリティ教育を実施します。

まとめ

System Binary Proxy Executionは、正規のシステムバイナリをプロキシとして利用する攻撃手法で、検知されにくく、攻撃者が長期間にわたって持続的にアクセスできるため、非常に厄介です。特にランサムウェア攻撃やマルウェア感染の初期段階で多用されるため、監視の難しい脅威でもあります。アプリケーションホワイトリストの設定やEDRツールの活用、システムバイナリの実行ログ監視など多層的な対策を取ることで、こうした脅威からシステムを保護することが可能です。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。