Scattered Spider として追跡されている金銭目的の攻撃者が、EDR (Endpoint Detection and Response) セキュリティ製品からの検出を回避するために、BYOVD (Bring Your Own Vulnerable Driver) 攻撃で Intel イーサネット診断ドライバーを展開しようとしていることが確認されました。
BYOVD 手法には、攻撃の一環としてエクスプロイトに対して脆弱であることが知られているカーネルモード ドライバーを使用して、Windows でより高い権限を取得する攻撃者が関与します。
デバイス ドライバーにはオペレーティング システムへのカーネル アクセス権があるため、それらの欠陥を悪用すると、攻撃者は Windows で最高の特権を使用してコードを実行できます。
Crowdstrike は、先月初めにサイバー インテリジェンス企業が Scattered Spider に関する以前のレポートを公開した直後に、この新しい戦術を発見しました。
最新の Crowdstrike レポートによると、ハッカーは BYOVD メソッドを使用して Microsoft Defender for Endpoint、Palo Alto Networks Cortex XDR、および SentinelOne をバイパスしようとしました。
セキュリティ製品の無効化
CVE-2015-2291は、攻撃者が特別に細工された呼び出しを使用してカーネル権限で任意のコードを実行できる Intel イーサネット診断ドライバーの重大な脆弱性です。
この脆弱性は 2015 年に修正されましたが、侵害されたデバイスにまだ脆弱な古いバージョンを植え付けることで、被害者がシステムに適用した更新に関係なく、攻撃者はこの欠陥を利用できます。
Scattered Spider が使用するドライバーは、35 の機能を持つ小さな 64 ビット カーネル ドライバーであり、NVIDIA や Global Software LLC などの署名機関から盗まれたさまざまな証明書によって署名されているため、Windows はブロックしません。
攻撃者は、これらのドライバーを使用してエンドポイント セキュリティ製品を無効にし、防御側の可視性と防止機能を制限して、標的のネットワークでのその後のオペレーション フェーズの基盤を築きます。
起動時に、ドライバーはハードコードされたターゲット セキュリティ製品の文字列を解読し、ハードコードされたオフセットでターゲット ドライバーにパッチを適用します。
挿入されたマルウェア ルーチンにより、セキュリティ ソフトウェア ドライバーがコンピュータを保護しなくなっても、正常に機能しているように見えます。
Crowdstrike は、「Scattered Spider」の標的範囲は非常に狭く、特定されていると述べていますが、BYOVD 攻撃の可能性を無視できる組織はないと警告しています。
最近、 BlackByte ランサムウェア ギャングや北朝鮮のハッキング グループ Lazarusなど、他の有名な脅威アクターについて報告しました。これらは BYOVD 攻撃を利用して、昇格した Windows 特権で侵入を強化しています。
Windows の長年の問題
Microsoft は、2021 年にブロックリストを導入することで、Windows でのこの既知のセキュリティ問題を解決しようとしました。
ただし、2022 年 9 月にリリースされた Windows 11 2022 以降を実行しない限り、Windows はデフォルトでこれらのドライバーをブロックしないため、この問題は決定的に対処されませんでした。
さらに悪いことに、 ArsTechnica が 10 月に報告したように、Microsoft は Windows のすべてのメジャー リリースでのみドライバー ブロック リストを更新したため、デバイスはこの種の攻撃に対して脆弱なままになっています。その後、Microsoft は、このサービス パイプラインを修正してドライバー ブロック リストを適切に更新する更新プログラムをリリースしました。
Microsoft は、Windows ユーザーがドライバーのブロックリストを有効にして、これらの BYOVD 攻撃から保護することをお勧めします。このサポート記事では、Windows メモリ整合性機能または Windows Defender Application Control (WDAC) を使用してブロックリストを有効にする方法について説明します。
残念ながら、新しいドライバーが搭載されていない可能性のあるデバイスでメモリ整合性を有効にすることは困難な場合があります。
Comments