適用対象: WatchGuard Advanced EPDR、WatchGuard EPDR、WatchGuard EDR、WatchGuard EPP、WatchGuard EDR Core
エクスプロイト アクティビティ表には、検出されたエクスプロイト手法および感染しているプログラムの名前が表示されます。
以下のようなさまざまな手法が監視されます。
Exploit/Metasploit
Metasploit Framework は、ユーザーがエクスプロイト コードを作成、テストおよび実行できるテスト用プラットフォームです。WatchGuard Endpoint Security が metasploit シェルコード署名を検出すると、それは Exploit/Metasploit エクスプロイト手法として表示されます。
Exploit/ReflectiveLoader
反射型 DLL インジェクションは、反射型プログラミングを使用して、検出されずにメモリからホスト プロセスにライブラリを読み込みます。WatchGuard Endpoint Security が反射的な実行可能ファイルの読み込みを検出した場合 (metasploit や cobalt ストライクなど)、それは Exploit/ReflectiveLoader エクスプロイト手法として表示されます。
Exploit/RemoteAPCInjection
非同期プロシージャ呼び出し (APC) は、リソースを消費せずにデータを待つプロセス スレッド内でコードを実行する合法的な方法です。プロセスベースの防御を回避し、場合によっては権限を昇格させるため、攻撃者は APC キューを使用して悪質なコードをプロセスに挿入する可能性があります。APC インジェクションは、別のライブ プロセスのアドレス空間で任意のコードを実行します。WatchGuard Endpoint Security が APC によるリモート コード インジェクションを検出すると、それは Exploit/RemoteAPCInjection エクスプロイト手法として表示されます。
Exploit/DynamicExec
コード インジェクションは、アプリケーションが信頼できないデータからのコード命令の動的実行を許可した場合に発生します。攻撃者は、標的としたアプリケーションの動作に影響を与え、それに変更を加えて機密データにアクセスする可能性があります。WatchGuard Endpoint Security が実行権限のないページでコードの実行を検出した場合 (32 ビットのみ)、それは Exploit/DynamicExec エクスプロイト手法として表示されます。
Exploit/HookBypass
フッキングとは、関数呼び出しやシステム イベント、メッセージを傍受することを指します。そのようなインターセプトを実行するコード スニペットはフックと呼ばれます。WatchGuard Endpoint Security 製品は、フックを使用してオペレーティング システム内のイベントを監視します。WatchGuard Endpoint Security が実行中の関数でフック バイパスを検出した場合、それは Exploit/HookBypass エクスプロイト手法として表示されます。
Exploit/ShellcodeBehavior
シェルコードは、ソフトウェアの脆弱性を悪用する際にペイロードとして使用される小さいマシン コードです。エクスプロイトは通常、脆弱性を悪用する前またはそれと同時に、標的とするプロセスにシェルコードを挿入します。WatchGuard Endpoint Security が Portable Executable (PE) に対応しない MEM_PRIVATE ページでのコードの実行を検出した場合、それは ShellcodeBehavior エクスプロイト手法として表示されます。
Exploit/ROP1
リターン指向プログラミング (ROP) は、攻撃者がコール スタックとプログラム制御フローをコントロールできるようにするエクスプロイト手法です。次に攻撃者はマシンのメモリにすでに存在するマシン命令シーケンスを実行します。これらの命令は通常、リターン命令で終わり、既存のプログラムまたは共有ライブラリ コード内のサブルーチンに配置されます。スタックがスレッド制限を超えているときに WatchGuard Endpoint Security がメモリ管理 API の実行を検出すると、それは Exploit/ROP1 エクスプロイト手法として表示されます。
Exploit/IE_GodMode
Windows God Mode を使用すると、1 つのウィンドウで、管理ツール、バックアップおよび復元オプション、およびその他の管理設定に素早くアクセスすることができます。これにはインターネット オプションも含まれます。WatchGuard Endpoint Security が Internet Explorer で God Mode を検出すると、それは Exploit/IE_GodMode エクスプロイト手法として表示されます。
Exploit/RunPE
RunPE は、正規のプロセスの中にコードを隠すマルウェアの一種です。これは空洞化手法と呼ばれることもあります。WatchGuard Endpoint Security がプロセス空洞化手法または RunPE を検出すると、それは Exploit/RunPE エクスプロイト手法として表示されます。
Exploit/PsReflectiveLoader1
ハッカーは通常、反射型ローダーを使用して、パスワードや認証情報などの機密情報をシステム メモリから抽出します。WatchGuard Endpoint Security が mimikatz のようなコンピュータ上の PowerShell 反射型ローダーを検出した場合、それは Exploit/PsReflectiveLoader1 として表示されます。
Exploit/PsReflectiveLoader2
ハッカーは通常、反射型ローダーを使用して、パスワードや認証情報などの機密情報をシステム メモリから抽出します。WatchGuard Endpoint Security が (ローカル コンピュータではなく) リモート コンピュータ上で mimikatz のようなコンピュータ上の PowerShell 反射型ローダーを検出した場合、それは Exploit/PsReflectiveLoader2 として表示されます。
Exploit/NetReflectiveLoader
ハッカーは通常、反射型ローダーを使用して、パスワードや認証情報などの機密情報をシステム メモリから抽出します。WatchGuard Endpoint Security が Assembly.Load のような NET 反射型ローダーを検出した場合、それは Exploit/NetReflectiveLoader エクスプロイト手法として表示されます。
Exploit/JS2DOT
js2-mode は、GNU Emacs (無料でカスタマイズ可能なテキスト エディタ) 用の JavaScript 編集モードです。WatchGuard Endpoint Security が JS2DOT 手法を検出すると、それはエクスプロイト手法として表示されます。
Exploit/Covenant
Covenant は、サイバーセキュリティ専門家向けの .NET 協調コマンド制御プラットフォームです。WatchGuard Endpoint Security が Covenant フレームワークを検出すると、それはエクスプロイト手法として表示されます。
Exploit/DumpLsass
攻撃者は、ローカル セキュリティ機関サブシステム サービス (LSASS) のプロセス メモリに保存されている資格情報へのアクセスを試みる可能性があります。WatchGuard Endpoint Security が Lsass プロセス メモリ ダンプを検出した場合、それはエクスプロイト手法として表示されます。
Exploit/APC_Exec
プロセス ベースの防御を回避したり権限を昇格させるため、攻撃者は非同期プロシージャ呼び出し (APC) キューのプロセスに悪意のあるコードの挿入を試みる可能性があります。APC インジェクションは、別のライブ プロセスで任意のコードを実行する方法です。WatchGuard Endpoint Security が APC を介したローカル コードの実行を検出した場合、それは Exploit/APC_Exec エクスプロイト手法として表示されます。
特定プログラムの手法の検出を除外するには、以下の手順を実行します。
- エクスプロイトの検出 ページの アクション セクションで、特定のプログラムを指定して 今後検出しない を選択します。
