EDR killer tool uses signed kernel driver from forensic software

ハッカーは、59のセキュリティ・ツールを検出し、それらを無効化しようとするEDRキラーにおいて、合法的ではあるが、長い間失効していたEnCaseカーネル・ドライバを悪用している。

EDRキラーとは、エンドポイント検出および応答(EDR)ツールやその他のセキュリティ・ソリューションをバイパスまたは無効にするために特別に作成された悪意のあるツールのことです。通常、脆弱なドライバを使用してシステムの保護を解除します。

通常、攻撃者は「Bring Your Own Vulnerable Driver」(BYOVD)テクニックを使用し、正規の脆弱なドライバを導入し、それを使用してカーネル・レベルのアクセスを獲得し、セキュリティ・ソフトウェア・プロセスを終了させます。

Wiz

このテクニックは十分に文書化されており、非常にポピュラーなものですが、マイクロソフト社が長年にわたって様々な防御策を導入しているにもかかわらず、Windowsシステムはいまだに効果的なバイパスに対して脆弱なままです。

Encaseは、法執行機関のフォレンジック業務で使用されるデジタル調査ツールで、コンピュータ、モバイルデバイス、クラウドストレージからデータを抽出して分析することができる。

今月初めに発生したサイバーセキュリティ・インシデントに対応したHuntressの研究者は、正規のファームウェア・アップデート・ユーティリティを装い、古いカーネル・ドライバを使用したカスタムEDRキラーが展開されていることに気づいた。

攻撃者は、漏洩したSonicWall SSL VPNの認証情報を使用し、VPNアカウントに多要素認証(MFA)がないことを悪用してネットワークに侵入しました。

ログイン後、攻撃者は、ICMP pingスイープ、NetBIOS名プローブ、SMB関連のアクティビティ、370 SYN/秒を超えるSYNフラッディングなど、積極的な内部偵察を行いました。

このケースで使用されたEDRキラーは、古いEnCaseカーネル・ドライバである「EnPortv.sys」を悪用して、ホスト・システム上で実行されているセキュリティ・ツールを無効にする64ビットの実行ファイルです。

このドライバの証明書は2006年に発行され、2010年に期限切れとなり、その後失効した。しかし、WindowsのDriver Signature Enforcementシステムは、証明書失効リスト(CRL)をチェックするのではなく、暗号検証結果とタイムスタンプを検証することで動作するため、オペレーティングシステムは古い証明書をまだ受け入れている。

MicrosoftはWindows 10のバージョン1607で、カーネル・ドライバはHardware Dev Center経由で署名されなければならないという要件を追加したが、2015年7月29日以前に発行された証明書については例外が設けられており、今回のケースはこれに該当する。

カーネルドライバーはインストールされ、偽のOEMハードウェアサービスとして登録され、リブート耐性パーシステンスを確立します。

Establishing persistence on the host
ホスト上で永続性を確立する
Source:ハントレス

このマルウェアは、ドライバのカーネルモードIOCTLインターフェイスを使用して、Protected Process Light(PPL)などの既存のWindows保護をバイパスして、サービスプロセスを終了させます。

様々なEDRやアンチウイルスツールに関連する59のプロセスが標的となっています。killループは毎秒実行され、再起動されたプロセスを即座に終了する。

KillProc implementation
KillProcの実装
ソースはこちら:ハントレス

Huntressは、この侵入はランサムウェアの活動に関連していると考えていますが、攻撃は最終的なペイロードが展開される前に阻止されました。

主な防御策としては、すべてのリモート・アクセス・サービスで MFA を有効にすること、VPN のログを監視して不審な動きがないか確認すること、HVCI/Memory Integrity を有効にして Microsoft の脆弱なドライバ・ブロックリストを適用することなどが推奨されています。

さらにHuntressは、OEMやハードウェアコンポーネントを装ったカーネルサービスを監視し、脆弱な署名付きドライバをブロックするWDACとASRルールを導入することを推奨している。

.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}

.ia_button {
width: 100%;
margin: 0px auto;
}
}


tines

ITインフラの未来はここにある

現代のITインフラは、手作業のワークフローでは対応できないほど高速に動いています。

この新しいTinesガイドでは、チームが隠れた手作業の遅延を削減し、自動応答によって信頼性を向上させ、すでに使用しているツールの上にインテリジェントなワークフローを構築して拡張する方法をご紹介します。