Microsoft logo in fire

Microsoft は、プロファイルを介して署名されたドライバーがランサムウェア インシデントを含むサイバー攻撃に使用された後、いくつかの Microsoft ハードウェア開発者アカウントを取り消しました。

このニュースは、 MicrosoftMandiantSophosSentinelOneの間で共同で発表されたものです。研究者は、攻撃者が悪意のあるカーネルモードのハードウェア ドライバーを利用していたと説明しています。このドライバーの信頼性は、Microsoft の Windows Hardware Developer Programの Authenticode 署名で検証されています。

「Microsoft は、Microsoft の Windows Hardware Developer Program によって認定されたドライバが、悪用後の活動で悪意を持って使用されていることを知らされました。これらの攻撃では、攻撃者は、ドライバを使用する前に、侵害されたシステムの管理者権限をすでに取得していました」と Microsoft のアドバイザリは説明しています。 .

「2022 年 10 月 19 日に SentinelOne、Mandiant、Sophos からこの活動について通知を受け、その後、この活動について調査を行いました。」

「この調査により、マイクロソフト パートナー センターの複数の開発者アカウントが、マイクロソフトの署名を取得するために悪意のあるドライバーを送信していたことが明らかになりました。」

「2022 年 9 月 29 日に署名するために悪意のあるドライバーを提出する新たな試みにより、10 月初旬に販売者のアカウントが停止されました。」

カーネル モード ドライバーの署名

カーネル モードのハードウェア ドライバーが Windows に読み込まれると、オペレーティング システムで最高の特権レベルが取得されます。

これらの特権により、ドライバーは、通常はユーザー モード アプリケーションに許可されていないさまざまな悪意のあるタスクを実行できる可能性があります。アクションには、セキュリティ ソフトウェアの終了、保護されたファイルの削除、他のプロセスを隠すためのルートキットとしての機能が含まれます。

Windows 10 以降、Microsoft は、カーネル モードのハードウェア ドライバーが Microsoft の Windows ハードウェア開発者プログラムによって署名されることを要求しています。

開発者は拡張検証 (EV) 証明書を購入し、識別プロセスを経て、Microsoft によって精査されたドライバーを提出する必要があるため、多くのセキュリティ プラットフォームは、このプログラムを通じて Microsoft によって署名されたコードを自動的に信頼します。

このため、Microsoft がカーネル モード ドライバーに署名して悪意のあるキャンペーンで使用する機能は貴重な商品です。

Windows ハードウェア互換性プログラムによるドライバーへの署名
Windows ハードウェア互換性プログラムによるドライバーへの署名
出典:マンディアント

セキュリティ ソフトウェアの終了に使用されるツールキット

本日発表されたレポートで、研究者は、STONESTOP (ローダー) と POORTRY (カーネルモード ドライバー) という名前の 2 つのコンポーネントで構成される新しいツールキットが、「脆弱なドライバーの持ち込み」 (BYOVD) 攻撃で使用されていることをどのように発見したかを説明しています。

Mandiant と SentinelOne によると、STONESTOP は、デバイス上のエンドポイント セキュリティ ソフトウェア プロセスを終了させようとするユーザー モード アプリケーションです。別の亜種には、ファイルを上書きおよび削除する機能が含まれています。

通常、セキュリティ ソフトウェア プロセスは通常のアプリケーションによる改ざんから保護されているため、STONESTOP は Microsoft によって署名された POORTRY カーネル モード ドライバーをロードして、関連する保護されたプロセスまたは Windows サービスを終了します。

「STONESTOP は、POORTRY のローダー/インストーラーとして機能するだけでなく、実行するアクションをドライバーに指示するオーケストレーターとしても機能します」と、SentinelLabs のレポートは説明しています。

Microsoft によって署名された POORTRY ドライバー
Microsoft によって署名された POORTRY ドライバー
ソース:

ランサムウェアと SIM スワッパーにリンク

この 3 社は、さまざまな攻撃者がツールキットを使用していることを確認しています。

ソフォスの Rapid Response チームは、ハッカーが最終的なペイロードを配布する前に、インシデント対応業務で攻撃を終了させました。

しかし、ソフォスは、この攻撃はキューバのランサムウェア作戦によるものであると「確信度が高い」と考えており、以前はこのマルウェアの亜種を使用していました。

「ソフォスが調査したインシデントでは、キューバのランサムウェアに関連する攻撃者が、BURNTCIGAR ローダー ユーティリティを使用して、Microsoft の証明書を使用して署名された悪意のあるドライバをインストールしました」とソフォスは説明しています。

SentinelOne は、通信、BPO、MSSP、および金融サービス ビジネスに対する攻撃で使用される、この Microsoft 署名付きツールキットも確認しています。あるケースでは、医療業界の企業に対するHive ランサムウェア作戦で使用されたことがわかりました。

「特に、SentinelLabs は、別の脅威アクターが同様の Microsoft 署名済みドライバーも利用していることを観察しました。その結果、医療業界の標的に対して Hive ランサムウェアが展開されました。これは、同様のツールにアクセスできるさまざまなアクターがこの手法をより広く使用していることを示しています。」 SentinelLabs の研究者は次のように説明しています。

一方、Mandiant は、2022 年 8 月には早くも UNC3944 として特定された脅威アクターがツールキットを攻撃に利用していることを確認しており、SIM スワッピング攻撃で知られています。

「Mandiant は、証明署名プロセスによって署名されたマルウェアを利用するUNC3944を観察しました。UNC3944 は、少なくとも 2022 年 5 月から活動している金銭目的の脅威グループであり、通常、SMS フィッシング操作から取得した盗まれた資格情報を使用して初期ネットワーク アクセスを取得します」と詳細に説明されています。マンディアントのレポート。

多数の脅威クラスターが署名付きドライバーを使用しているため、攻撃に使用するために類似の Microsoft 署名付きツールキットにどのようにアクセスしたかは不明です。

Mandiant と SentinelOne はどちらも、ツールキット、または少なくともコード署名が、他の脅威アクターがアクセスするために支払ったサプライヤーまたはサービスからのものであると考えています。

「『サプライヤー』説を支持する他の証拠は、ドライバーの類似した機能と設計に由来します。それらは 2 人の異なる脅威アクターによって使用されましたが、ほとんど同じように機能しました。これは、それらが当時同じ人物によって開発された可能性があることを示しています。その後、他の誰かが使用するために販売されました。」 – センチネルワン。
「Mandiant は以前、グループがコード署名のために一般的な犯罪サービスを利用している疑いのあるシナリオを観察してきました。これは新しい現象ではなく、 2017 年にメリーランド大学の認定マルウェア プロジェクトによって文書化されています。これは Mandiant が信じていることです。これらの疑わしい認証署名済みドライバーと関連する EV 署名付きサンプルで発生しています。」 -マンディアント。

Mandiant は、Microsoft に提出されたドライバーの署名に使用された次の組織名を抽出できたと述べています。

Qi Lijun Luck Bigger Technology Co., Ltd XinSing Network Service Co., Ltd Hangzhou Shunwang Technology Co.,Ltd Fuzhou Superman Beijing Hongdao Changxing International Trade Co., Ltd. Fujian Altron Interactive Entertainment Technology Co., Ltd. Xiamen Hengxin Excellence Network Technology Co., Ltd. Dalian Zongmeng Network Technology Co., Ltd.

マイクロソフトの対応

Microsoft は、悪意のあるファイルによって使用される証明書を無効にするセキュリティ更新プログラムをリリースし、署名対象のドライバーを送信するために使用されるアカウントを既に停止しています。

新しい Microsoft Defender 署名 (1.377.987.0) もリリースされており、悪用後の攻撃で正当な署名付きドライバーを検出します。

「Microsoft は、Microsoft Active Protections Program (MAPP) パートナーと協力して、さらなる検出の開発を支援し、共通の顧客の保護を強化しています」と Microsoft は説明しています。

「マイクロソフト パートナー センターは、これらの不正行為に対処し、将来の顧客への影響を防ぐための長期的なソリューションにも取り組んでいます。」

ただし、Microsoft は、悪意のあるドライバーが最初にどのように審査プロセスを通過したかをまだ明らかにしていません。

アドバイザリとレビューのプロセスについてさらに質問をして Microsoft に連絡しましたが、Microsoft は、これ以上共有することはないと述べました。