Slapdash Safeguards

にわか仕込みのセキュリティ

特定の文字列がコマンドラインに含まれていると検知回避できてしまっていたPalo Alto Cortex XDR

by skybreaker 脅威情報

InfoGuardの研究者により、Palo Alto Cortex XDRの検知ルールの中にグローバルホワイトリストが発見された。

そのリストから、:\\windows\\ccmcache\\がコマンドラインに含まれていると検査の対象から除外されることが発見された。

:\Windows\ccmcache\を何らかの形でファイルパスとか何かに含んでマルウェアを実行すれば、検知されないということなっちゃったと。

そんなこともまぁ、あるのかぁ。

ただし、Agent 9.1 / Content version 2160(2026年2月末)でグローバルホワイトリストが完全に削除された。

labs.infoguard.ch

グローバルホワイトリスト

Cortex XDRの検知ルールの一部は、ホスト上に保存されている。

今回話題挙がったのは、BIOC(Behavioral Indicators of Compromise)ルール、つまりふるまい検知のためのルール。

このルールはオープンなルールではなく、クローズドなルール。別に平文とかで検知ルールが保存されていたわけではなく、暗号化されていた。

しかし、ちゃんと解析すれば分からないものではなかったというような雰囲気がInfoGuardの記事から感じられる。

その中には、:\\windows\\ccmcache\\がコマンドラインに含まれているものは除外するというルールが。

(defrule internal.global_whitelist
  ?the_f <- (process_start (cid ?cid) (command_line ?command_line &: (contains_one_of ?command_line ":\\windows\\ccmcache\\")))
  (not (internal.global_whitelist (cid ?cid)))
  =>
  (assert (internal.global_whitelist (cid ?cid) (prio ?*retention_priority_higher*) (dbg_fact_id (fact-index ?the_f)))))

InfoGuardの言及箇所

ということで、InfoGuardの記事では例えば以下のようなコマンドの実行に成功したことが報告されている。

procdump64.exe -accepteula -ma <pid> C:\Windows\ccmcache\..\..\Users\test\Desktop\ls4ss.txt

メモリ上の認証情報を守るために、lsassプロセスとかprocdumpが重要プロセスをダンプするのはブロックしなければいけないわけだが、検知除外されるので検知されない。

2026年2月末でグローバルホワイトリストが完全に削除されたようだが、個別ルール単位の例外は依然として存在し暗号化の鍵の一部が変更されたが完全な変更ではないらしい。

:\Windows\ccmcache\ ???

\Windows\ccmcache\は、Microsoft SCCMやMicrosoft Endpoint Configuration Manager/Microsoft Configuration Manager/MECMに関係するパス。

SCCMサーバから配布されたコンテンツが一時的に保存されて、パッチ適用やソフトウェアインストールの際、短時間に多数のバイナリが書き込まれて実行されるから、EDR的には怪しく見えるかもしれない。

しかし、組織の管理上ブロックされると問題が起こるから除外した方が良いよ的なことがMicrosoftの公式ドキュメントにも書いてある。
learn.microsoft.com

確かに運用上の妨げにならないような除外は必要。

しかし、今回の場合どのようプロセスが触っているとか関係なくコマンドラインに含まれていたらっていう緩いルール定義だったので誤魔化しやすい状態になっていた。

これをデフォルトのルールとして使用していたことが問題だったということ。

除外設定といえば、EDR/XDRを運用している方々は自分たち業務に影響が無いように除外設定をしているでしょう。

それがセキュリティ的観点でどれだけの影響を及ぼしているのかは考慮されているんでしょうかね。

その除外設定の所為でインシデントが発生して、この製品は簡単にEDR/XDR回避されるとか、この製品は最上位ライセンスでもランサムウェア被害を防げなかったとか言われているのを見ていると何とも言えない気持ちになる。

検知テレメトリの調査って動的なものばかり想像していたけど、静的解析もある

EDRやアンチウイルスの調査って検知されるかされないかの瀬戸際の本当にギリギリのところを見つけて、拡張していくことで回避可能な手法を発見するものと勝手に思っていた。

つまり、EDRが動いている環境でカーネルとかプログラムのデバッグしながら動的に調査するイメージ。

でも、ちゃんとコンポーネントを調査すればルールファイルやそれに類するものをクライアントホスト上に持っているようだし、そこら辺の研究も行われているんですね。
www.safebreach.com