Windows Defender Exploit Guardについて

Windows Security blogでExploit Guardについての記事が出ていたので抄訳しました。すぐ日本語にも翻訳されるとは思いますが。翻訳内容は一切保障しません。


元記事: Windows Defender Exploit Guard: Reduce the attack surface against next-generation malware

概要

  • Windows Defender Exploit GuardはWindows 10 Fall Creators Updateで追加された一連の侵入防御機能
  • 様々な攻撃に対抗するためのデバイスのロックダウン方法、マルウェアの振る舞いのブロック機能を提供す る- バックエンドではMicrosoft Intelligent Security Graphを利用して最新の脅威に対応する
  • 4つのコンポーネントがある
    • Attack Surface Reduction (ASR) : Officeベース、スクリプトベース、メールベースの脅威からの保護
    • Network protection : Webベースの脅威からの保護。デバイスから信頼できないホスト、IPアドレスへのアウトバウンドプロセスをブロックする(=SmartScreen)
    • Controlled folder access : 信頼できないプロセスが保護されたフォルダにアクセスすることをブロックし、ランサムウェアから機密データを守る
    • Exploit protection : EMETだった部分。

4つのコンポーネントの機能概要

  • Attack Surface Reductionの仕組み

    • 不正な文書ファイルの裏で実行あsれる振る舞いをブロックする
    • 振る舞いによるブロックなのでゼロデイに対しても効果がある
    • Office、script、email、それぞれ動作が異なる
      • Office
        • Officeアプリケーションが実行可能コンテンツを作成すること、子プロセスを起動すること、他プロセスへインジェクションすることをブロック
        • Office内のマクロコードからのWin32インポートをブロック
        • 難読化されたマクロコードをブロック
      • script
        • 不正な、難読化されたJavaScript、VBSript、PowerShellをブロック
        • JavaScript、VBScriptがインターネットからダウンロードしたペイロードを実行することをブロック
      • email
        • メールでダウンロードした実行可能コンテンツの実行をブロック(Webメール、メールクライアントともに)

  • Network protectionの仕組み

    • アウトバウンド通信をブロックする
    • Intelligent Security Graphで得られた各種Web脅威を保護する
    • MS Edge上でSmartScreenによって保護される
    • (Edge以外のブラウザは対象ではない)
    • カーネルに組み込まれた新しいネットワークフィルタリングドライバーにより、ISGのホスト名、IPアドレスベースのレピュテーション情報をベースにアウトバウンドネットワークトラフィックを評価・ブロックする
    • 脅威情報はクラウド検索とキャッシュが使われるのでパフォーマンス面も考慮されている

    • ブラウザであろうと、バックグラウンドプロセスであろうと、アウトバウンド通信をインターセプトし、遮断することが可能 (←こちらはSmartScreenとは別?)

    • 若干読み取れなかったが、(1)SmartScreenの仕組みによる保護、(2)カーネルに組み込まれたネットワークフィルタによる保護、の2つで構成されているということ?

  • Controlled folder accessの仕組み

    • 重要なフォルダは承認されたアプリケーションにしかアクセスできないようロックダウンする仕組み
    • これによりランサムウェアによるファイルの暗号化を防ぐ
    • 承認されていないアプリケーション、DLL、スクリプト等は、管理者権限であろうとアクセスが拒否される

    • 既定ではdocuments、desktop、picturesなど一般的な個人用フォルダが保護対象となるが柔軟に設定できる

    • 技術的にはどう実現しているのだろう?Application Controlと同じか?

  • Exploit Protectionの仕組み

    • EMETだったもの。Windows Defender Exploit Guard。
    • EMETと設定のフォーマットが異なるがEMETのXML設定ファイルをWindows10 Exploit Guardむけに変換するPowerShellモジュールがある

その他

  • Exploit Guardの管理方法

    • Exploit Guardはグループポリシー、SCCM、IntuneなどのMDM、で管理できる
    • すべてのモジュールは監査モードとブロックモードを備えている
    • リアルタイムイベントログはWindows Defender ATPコンソールで確認できる

  • Windows Defender ATPとの連携

    • Exploit Guardのイベントについて、プロセスツリー全体を確認できる(ATPのイベントソースの1つになるというイメージか?)
    • Windows Defender ATPのSecurity Analyticsダッシュボードで展開状況等も確認できる

Officeファイル系マルウェア対策、ランサムウェア対策、色々なサードパーティーマルウェア対策製品が「いらなくね?」状態になりそうである。是非Windows Defender ATPと合わせて使いたい機能ですね。