ランサムウェア拡散者は、標的のシステムにマルウェアを投下する前に、古い Microsoft Windows ドライバーを悪用してセキュリティ防御を無効にする便利なツールを作成しました。
Sophos X-Ops の研究者が AuKill と呼んでいるこの検出回避ユーティリティは、正規のドライバを悪用してシステム上のエンドポイント検出および対応 (EDR) ソフトウェアを無効化、沈黙、またはその他の方法で回避する (いわゆる BYOVD (脆弱なドライバ持ち込み) 攻撃) か、または信頼できる組織によってデジタル署名され、被害者のコンピュータに挿入される悪質なドライバを入手しようとする、増加傾向にある傾向の最新例です。
いずれにせよ、被害者のPCは特権ドライバを信頼するように仕向けられ、侵入者に低レベルの権限とアクセスを許可してしまいます。これにより、侵入者はあらゆる保護を回避し、マルウェアを展開できるようになります。そして、明確に言えば、AuKillはBYOVDアプローチを採用しており、脆弱性のあるMicrosoftドライバをPCに持ち込み、それを悪用するのです。
「昨年、セキュリティコミュニティは、ドライバーが悪意ある目的で武器化された複数の事件について報告した」と、ソフォスの脅威研究者、アンドレアス・クロプシュ氏は今月の技術レポートに記している。
「このようなツールの発見は、敵対者がドライバーを武器化し続けているという我々の仮説を裏付けるものであり、今後数か月でこの分野でさらなる発展が期待される。」
AuKillは、Sophosだけでなく、SentinelOne、Microsoft、Google傘下のMandiantなど、多くのサイバーセキュリティベンダーから報告された一連の事例を受けて登場しました。複数の攻撃者が悪意のあるドライバを作成し、Microsoftを騙してコードにデジタル署名をさせ、正当性を装っていました。署名された悪意のあるコードはWindowsによって信頼され、実行可能になりました。調査の一環として、Microsoftは悪意のあるWindowsドライバを作成した複数のサードパーティ開発者を停止し、ドライバの署名に使用された証明書を失効させました。
AuKillツールは、Microsoft Process Explorerドライバの古いバージョン16.32を悪用してEDRプロセスを無効化するもので、今年に入ってから少なくとも3件のランサムウェア攻撃で使用されました。そのうち2件(1月と1ヶ月後)では、AuKillがEDR防御を突破した後に、攻撃者がMedusa Lockerランサムウェアを展開しました。AuKillは、被害者のネットワークに侵入する際に、悪質なドライバも持ち込み、悪用しました。
2月に、犯罪者はLockBitを導入する前にAuKillを使用しました。
Sophos は、古い Process Explorer ドライバーの悪用について Microsoft に通知しました。
Process Explorerドライバが悪用され、マルウェアがEDRシステムを回避できたのは今回が初めてではありません。2021年に初めて公開されたオープンソースのマルウェア対策ツール「Backstab」、あるいはそのバージョンが攻撃に利用された事例があります。2022年11月には、ある犯罪者がBackstabを使用してEDRプロセスを無効化し、その後LockBitを配信しました。
3 か月後、SentinelOne の研究者は、同じ Process Explorer ドライバーを使用するツールである MalVirt について記事を書きました。
ドライバはサイバー犯罪者にとって魅力的なツールとなります。低レベルのシステムコンポーネントでありながら、カーネルメモリ内の重要なセキュリティ構造にアクセスできるからです。セキュリティ上の理由から、Windowsには「ドライバ署名の強制」と呼ばれる機能が搭載されています。この機能は、カーネルモードドライバが有効なコード署名機関によって署名されていることを確認した上で実行を許可します。この署名は、OSによるソフトウェアのID検証で確認されます。
- ロシアとつながりのあるシャックワームの一団がウクライナ攻撃を強化
- ランサムウェアの犯罪者に何ヶ月もネットワークに留まらせないようにしましょう ― この政府機関のように
- IBMのDb2データベースの共有メモリの脆弱性により、悪意のある内部者が大混乱を引き起こす可能性があります。パッチを適用してください。
- MedusaランサムウェアのチームがBingとCortanaのソースコードを拡散したと自慢
Sophos は過去数か月間に AuKill の 6 つの亜種を収集し、特徴的なデバッグ文字列やドライバーとの対話に使用されるほぼ同一のコード フロー ロジックなど、Backstab と Aukill の間に無数の類似点を発見しました。
「ソフォスは、AuKill の作成者が Backstab によって導入された中核技術から複数のコードスニペットを使用し、それを中心にマルウェアを構築したと考えている」と Klopsch 氏は書いている。
マイクロソフトは、禁止されている怪しいWindows 10ドライバーのリストを何年も更新していないことに気付いた
続きを読む
AuKillは、正規のドライバを悪用し、同時にMicrosoftのデジタル署名を取得するように設計されています。古いドライバをシステムのWindows OSにドロップし、既にシステムに存在する新しいProcess Explorerドライバと共存させます。どちらのドライバもMicrosoftによって署名されており、存在しています。
AuKillは実行されると、動作に必要な管理者権限があると判断します。また、攻撃者がキーワードまたはパスワードを入力してファイルを実行することも要求します。どちらの条件も満たされない場合、AuKillは動作を停止します。
「AuKillツールは動作に管理者権限を必要としますが、攻撃者にその権限を与えることはできません」とSohposのKlopsch氏は述べている。「AuKillを使用する脅威アクターは、他の手段で取得した既存の権限を攻撃中に悪用しました。」
次に、EDR プロセス内のさまざまなコンポーネントを無効化または終了し、システムに感染するために使用されるマルウェアをドロップします。
これを防ぐには、不正なドライバーや禁止されたドライバーのインストールや実行を検知・ブロックできる環境を構築する必要があります。Microsoft はこの点について、こちらで注意喚起を行っています。®
