【図表】
近年登場したAV/EDR無効化ツール
フックの再帰問題と悪用によるフック回避
Windows API呼び出しの全体概要とHell‘s Gate
出典: https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/111900071/121800062/
【概要】
| 項目 |
内容 |
|---|---|
| 1 | Bring Your Own Vulnerable Driver(BYOVD) |
| 2 | Windowsのドライバーの署名にある抜け道を狙う手口 |
| 3 | AVやEDRのドライバーのロードを妨害する手口 |
| 4 | AVとEDRが監視に用いるAPIフックを回避する手口 |
| 5 | AVとEDRの安定性を確保する仕組みを逆手に取り、監視を迂回する手法 |
| 6 | Windows内部のカーネルの機能を呼び出す仕組みに注目して監視を避ける手口 |
| 7 | 通信を遮断する手口 |
| 8 | 「除外設定」を悪用する手口 |
| 9 | 監視にETWを利用するAVとEDRを迂回する手口 |
| 10 | セキュリティーツールの強力な強制終了機能を悪用する手口 |
【ニュース】
◆EDRを無力化する10種の最新手口 (日経XTECH, 2025/01/02)
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/111900071/121800062/
【関連まとめ記事】
◆EDR回避 (まとめ)
https://malware-log.hatenablog.com/entry/EDR_Evasion
