古い PC マザーボード用のカーネル レベルの Windows ドライバーが犯罪者によって悪用され、ウイルス対策保護を密かに無効にし、ファイルを人質にして身代金を要求する被害が発生しています。
ソフォスは今月、現在では廃止されているギガバイトのハードウェア用のデジタル署名付きドライバーに存在する任意の読み取り/書き込みの脆弱性が、ロビンフッドと呼ばれるランサムウェアによって最近使用され、Windows 7、8、および 10 マシンのセキュリティ保護を密かに無効にしていたと報告した。
ソフォスによると、問題は、ギガバイトがしばらく前にこのドライバのサポートと出荷を停止しているにもかかわらず、ソフトウェアの暗号署名が依然として有効であることだ。そのため、ランサムウェアがコンピュータに感染し(他のエクスプロイトによって、あるいは被害者を騙して実行させることによって)、ドライバが読み込まれると、そのドライバが正規のものであるように見えるため、オペレーティングシステムとウイルス対策パッケージはそれを許可してしまう。
その時点で、ランサムウェアは Gigabyte ドライバーのセキュリティ上の欠陥を悪用してメモリを変更し、保護メカニズムを回避してカーネル空間に悪意のあるコードを挿入し、ボックスを完全に侵害して、ファイル暗号化コンポーネントが妨げられることなく実行できるようにします。
「この攻撃シナリオでは、犯罪者はGigabyteのドライバを楔として利用し、署名のない2つ目のドライバをWindowsにロードしようとしました」とソフォスは説明しています。「この2つ目のドライバは、エンドポイントセキュリティ製品のプロセスとファイルを強制終了させ、改ざん防止機能を回避し、ランサムウェアが妨害を受けずに攻撃できるようにします。」
ドイツのサイバー将軍、NHSへのWannaCryランサムウェア攻撃がNATOの反応を引き起こした可能性があると発言
続きを読む
具体的には、RobbinHood は Gigabyte のドライバを読み込み、読み書き脆弱性を悪用してコード署名チェックを無効化し、自身の署名されていないドライバを妨害されることなく読み込み、その後、カーネルドライバを含むウイルス対策製品のプロセスとファイルを強制終了するよう指示します。そもそも RobbinHood は、脆弱なマザーボードドライバを読み込むために管理者権限を必要とするため、一体何のためにこんなことをするのかと疑問に思うかもしれません。管理者権限を持つ悪意のある人物なら、何でもできるのですから。
しかし、その目的は、ユーザーに警告することなく、悪意のある未署名のドライバの読み込みやファイルの暗号化プロセスをブロックするマルウェア対策製品を静かに排除することのようです。
ファイルが暗号化された後、被害者はファイルの復元に料金を支払うか、以前の正常なバックアップから復元を期待するかの選択を迫られます。Robbinhoodの場合、感染地域には米国のメリーランド州ボルチモア市とノースカロライナ州グリーンビル市が含まれています。
マルウェアは、署名済みではあるものの脆弱なソフトウェアのコピーをダウンロードして実行できるため、ドライバにパッチを適用しても安全は保証されません。ソフォスは管理者に対し、スーパーユーザーアクセスを持つユーザーを制限し、マルウェアの拡散とその被害を最小限に抑えるためのセキュリティ保護を多層化し、パスワードと多要素認証に関するベストプラクティスを徹底し、トロイの木馬がそもそもマシンに侵入できないようにユーザーを教育することを推奨しています。さらに、パッチの適用とウイルス対策ソフトウェアの最新化といった、いつもの対策も重要です。
Gigabyte のドライバに署名した組織を現在所有する Digicert がコメントを発表するか、ソフトウェアの実行を防ぐためにそのデジタル証明書を取り消したかどうかは、お知らせします。®
