NoFilter攻撃とは【用語集詳細】
NoFilter攻撃(NoFilter Attack)は、WindowsのAPIおよびシステムサービスであるWindowsフィルタリングプラットフォーム(WFP)を悪用した攻撃です。
WFPは、OS内のパケット処理や対話などのネットワークをフィルタリングするアプリを作成するためのプラットフォームであり、FWやIDS、AV等セキュリティ製品の開発に利用されます。
NoFilter攻撃では、WFPの一部である関数を悪用することによりシステム権限(NT AUTHORITY\SYSTEM)あるいはログイン済みユーザーとして新しいコンソールを起動することが可能になります。
WFPを用いたアクセストークンの複製は、証跡をほとんど残さず、また当該関数がセキュリティ製品によってモニタリングされていないため、検知を回避できるという利点があります。
このテクニックはDeepInstinctの研究者によって2023年DEF CONにおいて発表されました。