新たな悪意のあるキャンペーンが、正規のものではあるが古く脆弱な Avast Anti-Rootkit ドライバを使用して検知を回避し、セキュリティコンポーネントを無効にすることで標的のシステムを制御しています。
ドライバをドロップするマルウェアは、特定のファミリーを持たないAV Killerの亜種です。様々なベンダーのセキュリティ・プロセスのための142の名前のハードコードされたリストが付属しています。
このドライバはカーネル・レベルで動作することができるため、オペレーティング・システムの重要な部分にアクセスすることができ、マルウェアがプロセスを終了させることを可能にする。
サイバーセキュリティ企業Trellixのセキュリティ研究者は最近、標的システム上のセキュリティ製品を停止させるために、古いバージョンのアンチルートキット・ドライバを使用したBYOVD(Bring-your-own-vulnerable-driver)アプローチを活用する新しい攻撃を発見した。
彼らの説明によると、kill-floor.exeという ファイル名のマルウェアの一部が、ntfs.binというファイル名の脆弱なドライバをデフォルトのWindowsユーザーフォルダにドロップします。次に、マルウェアはサービスコントロール(sc.exe)を使用してサービス「aswArPot.sys」を作成し、ドライバを登録します。
マルウェアは次に、セキュリティ・ツールに関連する142のプロセスのハードコードされたリストを使用し、システム上のアクティブなプロセスの複数のスナップショットと照合する。
Trellixの研究者であるTrishaan Kalra氏によると、一致するプロセスが見つかると、「マルウェアはインストールされたAvastドライバを参照するためのハンドルを作成する」。
そして’DeviceIoControl’ APIを活用し、必要なIOCTLコマンドを発行して終了させる。
上のスクリーンショットに見られるように、このマルウェアは、McAfee、Symantec (Broadcom)、Sophos、Avast、Trend Micro、Microsoft Defender、SentinelOne、ESET、BlackBerryなど、さまざまなセキュリティソリューションのプロセスを標的としています。
防御機能が無効化されたマルウェアは、ユーザーへの警告を発したりブロックされたりすることなく、悪意のある活動を行うことができます。
なお、このドライバと同様の手順は、2022年初頭にトレンドマイクロの研究者がAvosLockerランサムウェア攻撃の調査中に観測している。
2021年12月、Stroz Friedbergのインシデントレスポンスサービスチームは、CubaランサムウェアがAvastのAnti-Rootkitカーネルドライバの機能を悪用して被害者のシステム上のセキュリティソリューションを停止させるスクリプトを攻撃に使用していることを発見しました。
同じ頃、SentinelLabsの研究者は2016年から存在していた2つの深刻度の高い不具合(CVE-2022-26522およびCVE-2022-26523)を発見し、”セキュリティ製品を無効にすることを可能にする権限の昇格” を悪用される可能性があることを発見しました。
この2つの問題は2021年12月にAvastに報告され、同社はセキュリティアップデートで静かに対処した。
脆弱なドライバに依存する攻撃からの保護は、Trellixが推奨するこのようなシグネチャやハッシュに基づいてコンポーネントを識別し、ブロックすることができるルールを使用することで可能である。
マイクロソフト社も、Windowsのメジャーリリースごとに更新される脆弱性ドライバー・ブロックリスト・ポリシー・ファイルなどのソリューションを提供している。Windows 11 2022以降、このリストはデフォルトですべてのデバイスで有効になっている。最新版のリストは、App Control for Businessから入手できる。
Comments