Hacker

RansomHubランサムウェアの運営者は現在、BYOVD(Bring Your Own Vulnerable Driver)攻撃でEDR(Endpoint Detection and Response)セキュリティソフトウェアを無効にする新しいマルウェアを展開しています。

2024年5月のランサムウェアの調査中に発見したソフォスのセキュリティ研究者によってEDRKillShifterと名付けられたこのマルウェアは、標的のデバイス上に正規の脆弱なドライバを展開し、特権を昇格させてセキュリティソリューションを無効にし、システムを制御します。

この手法は、金銭的な動機に基づくランサムウェア・ギャングから 国家の支援を受けたハッキング・グループまで、さまざまな脅威アクターの間で非常に人気があります。

「ソフォスの脅威リサーチャーである Andreas Klopsch氏は、「5 月に発生したインシデントにおいて、脅威行為者 (このツールは複数の攻撃者によって使用されていると、私たちは中程度の確信を持って推定しています) は、EDRKillShifter を使用して、標的となったコンピュータ上でソフォスの保護を終了させようとしましたが、このツールは失敗しました。

「その後、彼らがコントロールするマシン上でランサムウェアの実行ファイルを実行しようとしましたが、エンドポイントエージェントの CryptoGuard 機能がトリガーされ、これも失敗しました。

1つはRentDrv2として知られる脆弱なドライバーを悪用するもので、もう1つはThreatFireMonitor と呼ばれるドライバーを悪用するものでした。

またソフォスは、EDRKillShifter が攻撃者のニーズに応じてさまざまなドライバペイロードを提供できること、マルウェアの言語特性から、ロシア語ローカライゼーションのコンピュータでコンパイルされたことが示唆されることも発見しました。

Loader execution process overview
ローダー実行プロセスの概要

ローダーの実行には3つのステップがあります。まず、攻撃者はパスワード文字列を使用してEDRKillShifterのバイナリを起動し、メモリ内のBINという名前の埋め込みリソースを復号化して実行します。このコードはその後、最終的なペイロードを解凍して実行し、脆弱性のある正規のドライバをドロップして悪用することで、特権を昇格させ、アクティブなEDRプロセスやサービスを無効にします。

「マルウェアは、ドライバ用の新しいサービスを作成し、サービスを開始し、ドライバをロードした後、実行中のプロセスを継続的に列挙するエンドレスループに入り、ハードコードされたターゲットリストに名前が表示された場合は、プロセスを終了させる」とクロプシュは付け加えた。

「どちらの亜種も、Githubで入手可能な概念実証のエクスプロイトを使用して、(脆弱ではあるが)正当なドライバを悪用していることも注目に値する。私たちは、脅威者がこれらの概念実証の一部をコピーし、修正し、コードをGo言語に移植したのではないかと疑っています。

ソフォスでは、エンドポイントセキュリティ製品で改ざん防止機能を有効にすること、攻撃者が脆弱なドライバをロードするのを防ぐためにユーザー権限と管理者権限を分離すること、マイクロソフトが以前の攻撃で悪用されたことが知られている署名付きドライバの認証を解除し続けていることから、システムを常に最新の状態に保つことを推奨している。

昨年、ソフォスは、Medusa Locker や LockBit ランサムウェア攻撃で脆弱な Process Explorer ドライバを悪用する、AuKill と名付けられた別の EDR キリングマルウェアを発見しました。AuKill は、同じく Process Explorer ドライバの脆弱性を悪用するBackstab として知られるオープンソースツールに類似しており、Sophos X-Ops が観測した少なくとも1件の攻撃でLockBit ギャングによって使用されています。