RansomHub ransomware abuses Kaspersky TDSSKiller to disable EDR software

RansomHubのランサムウェア一味は、Kasperskyの正規ツールであるTDSSKillerを使用して、ターゲットシステムのエンドポイント検出および応答(EDR)サービスを無効化していた。

防御をダウンさせた後、RansomHubはLaZagneクレデンシャル・ハーベスティング・ツールを展開し、ネットワーク上で横方向に移動するのに役立つ様々なアプリケーション・データベースからログインを抽出しました。

ランサムウェア攻撃で悪用されるTDSSKiller

カスペルスキーはTDSSKillerを、検出が特に困難で標準的なセキュリティ・ツールを回避できる2種類のマルウェアであるルートキットとブートキットの存在についてシステムをスキャンできるツールとして開発しました。

EDRエージェントは、ファイルアクセス、プロセス作成、ネットワーク接続などの低レベルのシステムアクティビティを監視・制御する必要があるため、少なくとも部分的にはカーネルレベルで動作する、より高度なソリューションであり、ランサムウェアのような脅威からリアルタイムで保護します。

サイバーセキュリティ企業のMalwarebytesによると、最近、RansomHubがTDSSKillerを悪用して、マシン上で実行されているMalwarebytes Anti-Malwareサービス(MBAMService)を無効にするコマンドラインスクリプトまたはバッチファイルを使用して、カーネルレベルのサービスとやり取りしていることが確認された。

Commands supported by TDSSKiller
TDSSKiller がサポートするコマンド パラメータ
ソース:マルウェアバイト

この正規ツールは、偵察と権限昇格のフェーズに続いて採用され、動的に生成されたファイル名(‘{89BCFDFB-BBAF-4631-9E8C-P98AB539AC}.exe’)を使用して一時ディレクトリ(‘C:˶Users<User>﹑AppData﹑Local﹑Temp﹑’)から実行されました。

TDSSKillerは有効な証明書で署名された正規のツールであるため、RansomHubの攻撃がセキュリティ・ソリューションによってフラグを立てられたり、停止されたりする危険性はない。

次に、RansomHubはLaZagneツールを使用してデータベースに保存されている認証情報を抽出しようと試みました。Malwarebytesが調査した攻撃では、このツールは盗んだ認証情報のログと思われる60個のファイル書き込みを生成しました。

ファイルを削除するアクションは、攻撃者がシステム上での活動を隠蔽しようとした結果である可能性があります。

TDSSKillerからの防御

LaZagneの検出は、ほとんどのセキュリティ・ツールが悪意のあるものとしてフラグを立てるため、簡単です。しかし、TDSSKillerを使用して防御を無効にすると、その活動が見えなくなってしまうことがあります。

TDSSKillerはグレーゾーンにあり、MalwarebytesのThreatDownを含むいくつかのセキュリティツールはこれを「RiskWare」と表示するため、ユーザーにとっては赤信号となる可能性もある。

セキュリティ会社は、攻撃者がTDSSKillerのようなツールでEDRを無効にできないように、EDRソリューションの改ざん防止機能を有効にすることを提案している。

さらに、サービスを無効化または削除するパラメータである「-dcsvc」フラグや、TDSSKiller自体の実行を監視することで、悪意のある活動を検出し、ブロックすることができる。