デバイスポリシー:メモリ保護の設定

メモリ保護の設定では、プロセスの注入や昇格など、エージェントによるメモリエクスプロイトの処理方法を指定します。実行可能ファイルやマクロファイルの除外を追加して、実行を許可できます。

設定

説明

メモリ保護

有効にすると、Aurora Protect Desktop エージェントは潜在的な脅威であるさまざまなタイプのプロセスの呼び出しを検出し、設定したオプションに従って各タイプを処理します。

以下の違反タイプの表には、各違反タイプに関する詳細情報が記載されています。違反タイプごとに、以下のいずれかのアクションで応答するようにエージェントを設定できます。
  • 無視:エージェントはアクションを実行しません。
  • アラート: エージェントは違反をログに記録してインシデントを管理コンソールに報告します。
  • ブロック:エージェントは違反をログに記録してインシデントを管理コンソールに報告し、プロセスの呼び出しをブロックします。呼び出しを行ったアプリケーションは実行できます。
  • 停止:エージェントは違反をログに記録してインシデントを管理コンソールに報告し、プロセスの呼び出しをブロックして、呼び出したアプリケーションを終了します。

実行可能ファイルまたはマクロファイルを除外:除外を追加

Aurora Protect Desktop エージェントがメモリ保護の脅威を検出しようとするときに無視するファイルの相対パスを指定できます。除外リストにファイルを追加すると、ポリシーが割り当てられているデバイスにファイルをインストールして実行できるようになります。

除外を追加したら、ファイルの相対パスと無視する違反タイプを指定します。Windows デバイスでは、絶対ファイルパスを指定することもできます。相対パスが同じである他の実行可能ファイルも除外される可能性があるため、短縮された相対パスは注意して使用してください。

除外を適用した後、そのプロセスのすべてのインスタンスを終了して、ドライバがそのプロセスに注入できないようにする必要があります。

注: 無視する違反タイプを 1 つも追加せずに除外を保存すると、メモリ保護イベントとスクリプト制御イベントの両方に除外が適用されます。無視する違反タイプを 1 つ以上追加すると、除外はメモリ保護にのみ適用されます。
Windows の例:
  • 相対パス:\Application\Subfolder\application.exe
  • 絶対パス:C:\Application\Subfolder\application.exe
Linux の例:
  • 相対パス:/opt/application/executable
  • ダイナミックライブラリファイルの相対パス:/executable.dylib
macOS の例:
  • 相対パス(スペースなし):/Applications/SampleApplication.app/Contents/MacOS/executable
  • 相対パス(スペースあり):/Applications/Sample Application.app/Contents/MacOS/executable
  • ダイナミックライブラリファイルの相対パス:/executable.dylib
  • メモリ保護の除外にワイルドカードを使用することもできます。詳細については、メモリ保護の除外におけるワイルドカードの項を参照してください。

実行可能ファイルやマクロの除外にワイルドカードを使用する方法については、以下の詳細を参照してください。

除外を追加:DLL 除外として扱う

サードパーティ DLL の除外を追加する場合は、この設定を有効にします。たとえば、Aurora Protect Desktop for Windows に加えてサードパーティのセキュリティ製品を実行している場合は、Aurora Protect がその製品に関する特定の違反を無視するように、適切な .dll ファイルの除外を追加できます。

この機能は、[悪意のあるペイロード]および[システム DLL を上書き]違反タイプのみをサポートしています。これらの違反タイプは Windows デバイスでのみサポートされます。

DLL 除外を指定する場合は、次の情報に注意してください。
  • デバイスでは、WindowsAurora Protect Desktop バージョン 3.1.1001 以降を実行している必要があります。
  • 指定するファイルパスは、.dll ファイルへのフルパス、直接のパスである必要があります。ワイルドカードは許可されていません。
  • .dll ファイルは、デバイスで信頼済み証明書を使用して署名されている必要があります。署名されていない場合、ファイルは除外されません。
  • DLL 除外のサポートに関する詳細については、「KB 42221199112091」を参照してください。

除外を追加:特定の違反タイプを無視

メモリ保護の除外を追加して、Aurora Protect Desktop エージェントに無視させる違反カテゴリや特定の違反タイプを選択する場合は、この設定を有効にします。

除外を追加する際に、ポリシーをメモリ保護違反のみに適用してスクリプト制御違反に適用しない場合は、無視する違反タイプを 1 つ以上指定します。無視する違反タイプを選択しない場合、警告メッセージが表示され、メモリ保護ポリシーとスクリプト制御ポリシーの両方に除外が適用されます。

実行可能ファイルやマクロの除外にワイルドカードを使用する

メモリ保護の除外で特殊文字やワイルドカード(*)を使用する場合は、以下の点に注意してください。
  • メモリ保護の除外には、「^ & ' @ { } [ ] , $ = !」の特殊文字を含めることができます。- # ( ) % .+ ~ _ *
  • Windows デバイスでは、任意の文字値の後にコロンを続けること(C: など)がサポートされます。
  • アスタリスク(*)のエスケープはサポートされません。たとえば、ファイル名にアスタリスクが含まれているファイルを除外するのに使用することはできません。
  • DLL 除外を追加する場合は、ワイルドカードを使用できません。
  • ワイルドカード「*」は、プラットフォーム固有のファイルパス区切り文字を除く、0 文字以上に一致します。ファイルパス区切り文字は、Windows デバイスでは「\」、Linux および macOS では「/」です。
  • ワイルドカード「**」は絶対パス内の 0 以上のディレクトリに一致し、ドライブ、ディレクトリ、および子ディレクトリを除外するために使用します。例:C:\MyApp\''\**\''
    • ** は、\**\ や /**/ など、必ずファイルパス区切り文字とともに使用してください
    • パターン **\ は、Windows デバイスのパターンの先頭にある場合にのみ有効です。すべてのドライブ内のすべてのディレクトリと一致します。
    • パス内では、\**\ や /**/ は複数回使用でき、制限はありません。
    • ドライブ文字の直後または除外の開始時には、「**」を使用しないでください。たとえば、Windows の C:\**\program.exe または macOS の /**/program.dmg では、ドライブ上のディレクトリおよび子ディレクトリのすべてが除外されます。
  • メモリ保護の除外でワイルドカードを使用する例については、Windows でメモリ保護の除外に使用するワイルドカードの例およびmacOS でのメモリ保護の除外で使用されるワイルドカードの例を参照してください。
  • 3 つのアスタリスク(***)は、誤字を見逃す原因となる可能性があるため、除外対象にはなりません。たとえば、「C:\***.exe」というパターンの場合、「C:\**\*.exe」と入力したつもりが、「\」を 1 つ入力し忘れた可能性があります。「***」を 1 つの「*」として扱うと、意図した動作とは異なる動作を引き起こす可能性があります。

悪用違反タイプ

違反タイプ

サポートされる OS

説明

スタックピボット

Windows

Linux

スレッドのスタックが別のスタックに置き換えられたかどうかを検出します。通常、システムはスレッドに 1 つのスタックのみを割り当てます。攻撃者は別のスタックを使用して、データ実行防止(DEP)によってブロックされない方法で実行を制御する可能性があります。

スタック保護

Windows

Linux

スレッドのスタックのメモリ保護が変更され、実行権限が有効になったかどうかを検出します。スタックメモリは実行可能であってはなりません。実行権限が有効になったということは、攻撃者が悪用の一環としてスタックメモリに格納された悪意のあるコードの実行準備をしている可能性があることを意味します。この試みは、本来であればデータ実行防止(DEP)によってブロックされます。

コードの上書き

Windows

プロセスのメモリに存在するコードが、データ実行防止(DEP)を回避する可能性のある手法で変更されたかどうかを検出します。

RAMスクレイピング

Windows

プロセスが、別のプロセスから有効な磁気ストライプトラックデータを読み取ろうとしているかどうかを検出します。通常、この違反は販売時システム(POS)に関連付けられます。

悪意のあるペイロード

Windows

エクスプロイテーションに関連付けられたシェルコードとペイロードを検出します。

この違反タイプは、DLL 除外をサポートしています。

システムコールのモニタリング

Windows

アプリケーションまたはオペレーティングシステムへのシステムコールを検出します。

直接システムコール

Windows

悪意のあるコードを他のプロセスにサイレント注入しようとしたことを検出します。この違反タイプはブロックできません。

システム DLL を上書き

Windows

システム DLL の上書きが試行されたことを検出します。

この違反タイプは、DLL 除外をサポートしています。

危険な COM オブジェクト

Windows

コンポーネントオブジェクトモデル(COM)オブジェクトへの参照を持つ悪意のあるコードを検出します。

APC 経由のインジェクション

Windows

プロセスが非同期プロシージャ呼び出し(APC)を使用して対象プロセスに任意のコードを注入しているか、LoadLibrary や同様の関数を呼び出すためにリモートスレッドを開始しているかを検出します。

このアクションをアラートに設定すると、有効な注入と悪意のある注入の両方のアラートが表示されます。このアラートは、インジェクションを受けたアプリケーションを報告しますが、アラートの原因となった実行可能なソースはユーザーが特定する必要があります。詳細については、「KB 42221135706139」を参照してください。

このアクションをブロックまたは停止に設定している場合、報告されたアプリは、有効であってもデバイスで実行されません。

危険なVBAマクロ

Windows

危険な実装を含むマクロを検出します。エージェントバージョン 2.1.1580 以降を実行しているデバイスを保護します。メモリ保護の除外は、エージェントバージョン 3.0 以降でサポートされます。

プロセスの注入違反タイプ

違反タイプ

サポートされる OS

説明

リモートでのメモリ割り当て

Windows

macOS

プロセスが別のプロセスにメモリを割り当てるかどうかを検出します。ほとんどの割り当ては同じプロセス内でのみ行われます。これは、システム上の悪意のあるものを強化するために、コードまたはデータを別のプロセスに注入しようとしたことを示している可能性があります。

リモートでのメモリマッピング

macOS

プロセスがコードまたはデータを別のプロセスに導入するかどうかを検出します。これは、別のプロセスでコードの実行を試そうとしたことを示しており、悪意のあるものを強化する可能性があります。

リモートでのメモリ書き込み

Windows

macOS

プロセスが別のプロセスでメモリを変更したかどうかを検出します。これは通常、以前に割り当てられたメモリにコードまたはデータを格納しようとしたことを示している可能性があります。ただし、攻撃者が悪意のある目的で実行を迂回するために、既存のメモリを上書きしようとしていることも考えられます。

リモートでのメモリへの PE 書き込み

Windows

プロセスが別のプロセスでメモリを変更して、実行可能イメージを格納したかどうかを検出します。最初にコードをディスクに書き込んでいない状態で、攻撃者がそのコードを実行しようとしていることを示す場合があります。

リモートでのコード上書き

Windows

プロセスが別のプロセスで実行可能メモリを変更したかどうかを検出します。通常の状況では、特に別のプロセスによって実行可能メモリが変更されることはありません。これは、別のプロセスで実行を迂回しようとしたことを示す場合があります。

リモートでのメモリマッピング解除

Windows

macOS

プロセスが別のプロセスのメモリから実行可能ファイルを削除したかどうかを検出します。これは、実行を迂回するために、実行可能イメージを変更されたコピーに置き換える意図を示している可能性があります。

リモートでのスレッド作成

Windows

プロセスが別のプロセスに新しいスレッドを作成したかどうかを検出します。プロセスのスレッドは通常、同じプロセスによってのみ作成されます。この方法は、攻撃者が別のプロセスに注入した悪意のあるものをアクティブ化するために使用される場合があります。

リモートでのAPCスケジュール

Windows

プロセスによって、別のプロセスのスレッドの実行が迂回されたかどうかを検出します。攻撃者はこの方法を使用して、別のプロセスに注入した悪意のあるものをアクティブ化する場合があります。

DYLD インジェクション

Linux

起動されたプロセスに共有ライブラリが注入される原因となる環境変数が設定されたかどうかを検出します。攻撃者はアプリケーションのリストを変更したり、アプリケーションを bash スクリプトで置き換えたりすることがあります。これにより、アプリケーションの起動時にモジュールが自動的に読み込まれます。

ドッペルゲンガー

Windows

ファイルシステムにまだ書き込まれていないファイルから、悪意のある新しいプロセスが開始されたかどうかを検出します。ファイル書き込みトランザクションは通常、プロセスの開始後にロールバックされるため(これにより悪意のあるファイルがディスクにコミットされないようにします)、ディスク上のファイルをスキャンしようとすると、修正されていない良性ファイルのみが表示されます。

危険な環境変数

Windows

悪意のあるコードがアタッチされている可能性のある環境変数を検出します。

昇格違反タイプ

違反タイプ

サポートされる OS

説明

LSASS 読取り

Windows

Windows ローカルセキュリティ権限プロセスに属するメモリが、ユーザーのパスワードを取得しようとしたことを示す方法でアクセスされたかどうかを検出します。

ゼロ割り当て

Windows

ヌルページが割り当てられたかどうかを検出します。メモリ領域は通常は予約済みですが、特定の状況では割り当てることができます。攻撃者は、通常はカーネル内の既知のヌルデリファレンスエクスプロイトを利用して、権限の昇格を設定します。

他のプロセスでメモリアクセス権を変更

Windows

違反しているプロセスが、別のプロセス内でメモリアクセス権限を変更したかどうかを検出します。これは通常、コードを別のプロセスに注入し、アクセス権限を変更してメモリを実行可能な状態にするために行われます。

子プロセスでメモリアクセス権を変更

Windows

違反しているプロセスが子プロセスを作成し、その子プロセスのメモリアクセス権限を変更したかどうかを検出します。

盗まれたシステムトークン

Windows

アクセストークンが変更され、ユーザーがセキュリティアクセス制御を回避できるようになったかどうかを検出します。

低整合性プロセスの開始

Windows

整合性レベルが低いプロセスが実行されるように設定されたかどうかを検出します。