2024年度クラウドネイティブセキュリティおよび利用状況レポート
この記事シリーズは、セキュリティツールによる検出を回避するためのsyscall回避手法と、それに対抗する方法に焦点を当てています。特に、Linuxオペレーティングシステムに適用される方法について説明しますが、Windowsにも適用可能な手法であることが後半で触れられます。
最初の記事では、bashシェル組み込み関数によるsyscall回避について解説します。システムコール(syscall)は、ユーザースペースのアプリケーションとカーネル間のインターフェースであり、セキュリティツールは悪意のある活動を監視するためにこれらのシステムコールの動向を監視することが一般的です。しかし、システムコールには多種多様なものがあり、機能が重複するものもあるため、セキュリティツールが特定のシステムコールを監視していても、攻撃者が別のシステムコールを使用して回避する可能性があります。
例えば、bashの組み込み関数を使用して、catコマンドの動作を再現することで、execve()システムコールを回避し、ファイルの内容を読み取ることができます。このような回避手法は、プロセス実行のみを監視しているセキュリティツールのレーダー下で完全にデータを読み取ることを許します。
この記事は、システムコール回避の手法と、セキュリティツールがこれに対抗するために必要なより微妙で包括的なアプローチについて解説しています。
詳細はこちら
