Hacker

新しいハッキング キャンペーンは、Sunlogin の欠陥を悪用して Sliver のポストエクスプロイト ツールキットを展開し、Windows の脆弱なドライバーの持ち込み (BYOVD) 攻撃を開始して、セキュリティ ソフトウェアを無効にします。

Sliver はBishop Fox によって作成されたエクスプロイト後のツールキットで、昨年の夏に攻撃者が Cobalt Strike の代替手段として使用し始め、ネットワーク監視、コマンド実行、リフレクティブ DLL ロード、セッション生成、プロセス操作などに使用されました。

AhnLab Security Emergency Response Center (ASEC) のレポートによると、最近観察された攻撃は、中国の開発者によるリモート コントロール ソフトウェアである Sunlogin の 2 つの 2022 脆弱性を標的としています。

これらの脆弱性を悪用してデバイスを侵害した後、攻撃者は PowerShell スクリプトを使用してリバース シェルを開くか、Sliver、Gh0st RAT、XMRig Monero コイン マイナーなどの他のペイロードをインストールします。

Sliver がサポートするコマンド
Sliver (ASEC)がサポートするコマンド

悪意のあるドライバーを攻撃に持ち込む

攻撃は、Sunlogin v11.0.0.33 以前の CNVD-2022-10270 / CNVD-2022-03672 RCE 脆弱性を悪用することから始まり、すぐに利用できる概念実証 (PoC) エクスプロイトを使用します。

侵入者はこの欠陥を利用して難読化された PowerShell スクリプトを実行し、バックドアを展開する前にセキュリティ製品を無効にします。

このスクリプトは、移植可能な .NET 実行可能ファイルをデコードし、メモリにロードします。この実行可能ファイルは、Mhyprot2DrvControl オープンソース ツールの修正版であり、脆弱な Windows ドライバを悪用して、カーネル レベルの権限で悪意のあるアクションを実行するために作成されています。

Mhyprot2DrvControl は、トレンドマイクロが昨年からランサムウェア攻撃に使用されていることを確認した Genshin Impact のデジタル署名されたアンチチート ドライバである mhyprot2.sys ファイルを悪用します。

「単純なバイパス プロセスにより、マルウェアは mhyprot2.sys を介してカーネル領域にアクセスできます」と ASEC はレポートで説明しています。

「Mhyprot2DrvControl の開発者は、mhyprot2.sys によってエスカレートされた権限で利用できる複数の機能を提供しました。これらの中で、攻撃者はプロセスの強制終了を可能にする機能を使用して、複数のマルウェア対策製品をシャットダウンするマルウェアを開発しました。 “

ドライバーが読み込まれると、攻撃者はその脆弱性を悪用して Windows カーネル特権を取得し、ユーザー モード プログラムから保護されたセキュリティ プロセスを終了するために使用できます。

マルウェアの標的となったセキュリティ製品
マルウェアの標的となったセキュリティ製品(ASEC)

PowerShell スクリプトの 2 番目の部分は、外部ソースから Powercat をダウンロードし、それを使用して C2 サーバーに接続するリバース シェルを実行し、侵害されたデバイスへのリモート アクセスを攻撃者に提供します。

ASEC が観察したいくつかのケースでは、Sunlogin 攻撃の後に Sliver インプラント (「acl.exe」) がインストールされていました。攻撃者は、パッカーを使用せずに、「セッション モード」で Sliver フレームワークによって生成されたインプラントを使用しました。

難読化された Sliver バックドア
難読化された Sliver バックドア(ASEC)

その他のケースでは、攻撃者は、リモート ファイル管理、キー ロギング、リモート コマンド実行、およびデータ抽出機能のために Gh0st RAT (リモート アクセス トロイの木馬) をインストールしました。

Microsoft は、Windows 管理者が脆弱なドライバーのブロックリストを有効にして、BYOVD 攻撃から保護することをお勧めします。

Microsoft のサポート記事では、Windows メモリ整合性機能または Windows Defender Application Control (WDAC) を使用してブロックリストを有効にする方法について説明しています。

この攻撃を防御するもう 1 つの方法は、AV キラー「f71b0c2f7cd766d9bdc1ef35c5ec1743」のハッシュをブロックし、「mhyprot2」という名前の新しくインストールされたサービスのイベント ログを監視することです。