Hacker

ALPHV ランサムウェア グループ (別名 BlackCat) は、攻撃中にセキュリティ ソフトウェアによる検出を回避するために、署名された悪意のある Windows カーネル ドライバーを使用していることが観察されました。

トレンドマイクロが確認したドライバーは、Microsoft、Mandiant、Sophos、SentinelOne が昨年末のランサムウェア攻撃で発見した「POORTRY」として知られるマルウェアの改良版です。

POORTRY マルウェアは、Microsoft の Windows ハードウェア開発者プログラムの正規のアカウントに属する盗まれたキーを使用して署名された Windows カーネル ドライバーです。

この悪意のあるドライバーは、0ktapus および Scattered Spider としても知られる UNC3944 ハッキング グループによって、Windows デバイス上で実行されているセキュリティ ソフトウェアを終了して検出を回避するために使用されました。

通常、セキュリティ ソフトウェアは終了や改ざんから保護されていますが、Windows カーネル ドライバーはオペレーティング システムの最高の特権で実行されるため、ほぼすべてのプロセスを終了するために使用できます。

トレンドマイクロによると、ランサムウェア攻撃者はマイクロソフトが署名した POORTRY ドライバーを使用しようとしたが、そのドライバーが広く知られるようになり、コード署名キーが取り消された後は検出率が高かったという。

したがって、ハッカーは、盗難または漏洩した相互署名証明書を使用して署名された POORTRY カーネル ドライバーの更新バージョンを展開しました。

BlackCat ランサムウェアの操作で使用される新しいドライバーは、侵害されたマシン上での権限を昇格させ、セキュリティ エージェントに関連するプロセスを停止するのに役立ちます。

さらに、ランサムウェア ギャングと UNC3944/Scattered Spider ハッキング グループの間に緩やかなつながりが生まれる可能性があります。

悪意のある Windows カーネル ドライバー

2023 年 2 月の BlackCat 攻撃でトレンドマイクロが確認した署名付きドライバーは「ktgn.sys」で、被害者のファイルシステムの %Temp% フォルダーにドロップされ、「tjr.exe」という名前のユーザー モード プログラムによってロードされました。

アナリストらは、ktgn.sys のデジタル署名が取り消されたと述べている。ただし、署名ポリシーが強制されている 64 ビット Windows システムでは、ドライバーは問題なく読み込まれます。

悪意のあるカーネル ドライバーは、ユーザー モード クライアント tjr.exe が、ドライバーが Windows カーネル特権で実行するコマンドを発行できるようにする IOCTL インターフェイスを公開します。

「ユーザーがこのドライバーとインターフェイスするときに何が起こるかを分析したところ、公開されているデバイス入出力制御 (IOCTL) コードの 1 つである Kill Process のみが使用されていることがわかりました。これは、システムにインストールされているセキュリティ エージェント プロセスを強制終了するために使用されます。 」とトレンドマイクロのレポートは説明しています。

BlackCat 攻撃に使用される悪意のあるドライバー
BlackCat 攻撃に使用される悪意のあるドライバー(トレンドマイクロ)

トレンドマイクロのアナリストは、ドライバーに対して発行できる次のコマンドが公開されているのを観察しました。

  1. ドライバーをアクティブ化する
  2. ユーザー モード クライアントの操作が終了した後、ドライバーを非アクティブ化します。
  3. ユーザーモードプロセスを強制終了します
  4. 特定のファイルパスを削除する
  5. ファイルのハンドルを解放し、それを使用している実行中のプロセスを終了することにより、ファイルを強制的に削除します。
  6. ファイルをコピーする
  7. 強制削除と同様のメカニズムを使用してファイルを強制コピーする
  8. プロセス/スレッド通知コールバックの登録
  9. プロセス/スレッド通知コールバックの登録を解除する
  10. 「HalReturnToFirmware」API を呼び出してシステムを再起動します。
システムからファイルをコピーする
システムからのファイルのコピー(トレンドマイクロ)

トレンドマイクロは、プロセス/スレッド通知コールバックに使用される 2 つのコマンドが機能していないとコメントしており、ドライバーが現在開発中か、まだテスト段階にあることを示しています。

システム管理者は、トレンドマイクロが共有する侵害の痕跡を使用し、ランサムウェア攻撃者が使用する悪意のあるドライバーをWindows ドライバーのブロックリストに追加することをお勧めします。

Windows 管理者は、有効なデジタル署名を持たないドライバーのインストールをブロックする「ドライバー署名の強制」が有効になっていることも確認する必要があります。