BYOVD(Bring Your Own Vulnerable Driver)攻撃は、脅威アクターにとって魅力的であり、ランサムウェアオペレーターや下位の攻撃者によって広く使用されている。脅威アクターは、脆弱なドライバーを選ぶ際に選択肢が豊富で、loldrivers.ioなどのオープンソースの脆弱なドライバーのリポジトリには364のエントリがある。BYOVD攻撃が下位の脅威アクターに人気がある理由の1つは、既製のキットやツールが犯罪フォーラムで販売されていることである。
Terminatorツールは、2023年5月に初リリースされたEDRキラーであり、脆弱なZemanaドライバーと共に脅威アクターの関心を引いている。Terminatorツールは、BYOVDツールであり、Zemana Anti-LoggerまたはZemana Anti-Malwareの脆弱なドライバーを利用している。Terminatorツールには、オープンソースのバージョンや別の言語で書かれたバリエーションなど、複数のバリエーションが存在する。
Zemana Anti-LoggerやAnti-Malwareのドライバーを乱用した攻撃が実際に発生している。これらの攻撃は、脆弱なCitrixアプリケーションの脆弱性を悪用して初期アクセスを獲得し、Sophosのサービスを無効化しようとするものである。また、医療機関を標的とした攻撃やZemanaドライバーの代わりにAuKillを使用した攻撃も報告されている。
脆弱なドライバーの乱用を検出することは、セキュリティ業界にとって独自の課題である。脆弱なドライバーをブロックする際には注意が必要であり、慎重な検証を行わずに一括でブロックすることは組織に予期しない問題を引き起こす可能性がある。脆弱なドライバーのリストを最新の状態に保ち、インストールされていないドライバーをブロックすることが有益である。また、挙動ベースの保護ルールやAdaptive Attack Protectionなどのセキュリティ対策も重要である。
BYOVD攻撃は脅威アクターにとって魅力的であり、AVやEDRソリューションをカーネルレベルで無効化する手段を提供する。脆弱なドライバーの数が非常に多いため、攻撃者は多くの選択肢を持っている。セキュリティコミュニティは、脆弱なドライバーやカスタムビルドドライバーの脅威を追跡し、新しい方法を開発して悪用されるドライバーをブロックするための研究を続けている。
【ニュース解説】
BYOVD(Bring Your Own Vulnerable Driver)攻撃とは、脅威アクターが既知の脆弱性を持つドライバーを標的システムに持ち込み、そのバグを悪用してカーネルレベルの権限を得る手法です。このレベルのアクセスを得ることで、攻撃者はマルウェアを隠したり、認証情報を抜き取ったり、特に重要なのはエンドポイント検出対応(EDR)ソリューションを無効化しようと試みることができます。
2023年5月に初めてリリースされた「Terminator」というツールは、この種の攻撃に利用されており、特にZemana Anti-LoggerやZemana Anti-Malwareの脆弱なドライバーを悪用しています。これらのドライバーは、正当なプロセスのみが特定の機能を要求できるようにする「許可リスト」を維持していますが、攻撃者はこのセキュリティ対策を回避し、任意のプロセスを許可リストに追加することができます。
この攻撃手法は、ランサムウェアオペレーターや下位の攻撃者によって広く使用されており、犯罪フォーラムで販売されている既製のキットやツールに組み込まれています。Terminatorツールは、複数のセキュリティ製品を無効化できると主張され、そのバリエーションやポートされたバージョンも存在します。
この攻撃手法の検出はセキュリティ業界にとって独自の課題を提起します。脆弱なドライバーは正当なものであり、オペレーティングシステムや重要なサービス、アプリケーションにとって不可欠な場合があるため、慎重な検証なしに一律にブロックすることは問題を引き起こす可能性があります。しかし、脆弱なドライバーのリストを最新の状態に保ち、インストールされていないものをブロックすることは有益です。
BYOVD攻撃は、AVやEDRソリューションをカーネルレベルで無効化する手段を脅威アクターに提供します。脆弱なドライバーの数が非常に多いため、攻撃者には多くの選択肢があります。セキュリティコミュニティは、脆弱なドライバーやカスタムビルドされたドライバーの脅威を追跡し、悪用されるドライバーをブロックするための新しい方法を開発するために研究を続けています。このような攻撃に対する防御策としては、エンドポイントセキュリティ製品が改ざん保護を実装しているか確認し、Windowsのセキュリティロールの適切な管理、OSやアプリケーションの更新、不要な古いソフトウェアの削除、脆弱なドライバーを脆弱性管理プログラムに追加することなどが推奨されます。
from It’ll be back: Attackers still abusing Terminator tool and variants.
