出典:Sundry Photography/Getty Images
Sophos X-Opsのアナリストは今週、身元不明の脅威アクターが同社のいわゆる「レッドチーム」型ポストエクスプロイテーションフレームワークを通じて、AI技術を活用してエンドポイント検出・対応(EDR)の回避戦術を開発しているという調査結果を公表しました。
「顧客テナント内に登録された異常なエンドポイントが、C:\Users\User\Documents\test を起点とするペイロードに対してアラートを発したことで、この活動が検出されました」とSophosはブログ記事で述べています。「このディレクトリ内の複数のファイルは悪意あるもので、検出回避に特化したより広範な攻撃フレームワークの存在を示していました。」
Sophosのアナリストは、ロシア語で記述され少なくとも一部がAIによって生成された複数のPythonスクリプトを発見しました。脅威アクターが大規模言語モデル(LLM)技術を使ってマルウェアを構築し攻撃を展開することは以前から行われており、それ自体は特段新しいことではありません。
より注目すべきは、これらのスクリプトが自動化されたActive Directory(AD)パネルと連動し、Sophos・CrowdStrike・Windows Defender各EDRエージェントを対象にマルウェアを反復的に開発・テストするラボと統合されていた点です。攻撃者はEDRツールに対してマルウェアをテストして観察結果を収集し、自動化されたADパネルが事前定義されたリストから次のタスクを選択してリモートエージェントに割り当て、作業完了後に再評価を行う仕組みになっていました。
EDR回避ラボを構築した脅威アクター
AIによるマルウェア開発は「比較的限定的」であり、実験のサポートやワークフローの調整を目的としていましたが、EDRラボは「人間によるレビューと反復作業を含む、体系的なエンジニアリングテストサイクル」でした。つまりSophosは、攻撃者がより効果的なマルウェアを作り上げるために、構築→テスト→分析→改良というサイクルを繰り返すサンドボックス手法を用いているのを確認しています。
ワークフローをさらに高度化する取り組みとして、攻撃者のGitリポジトリ内のアーティファクトからは、マルウェアのバイパス手法を探るためにベンダーのリサーチを調査していた形跡が見つかりました。攻撃者はエージェントに対し、この情報を調査・収集し、特定した手法をMITRE ATT&CKの手法にマッピングし、ラボのテスト環境を準備してテストを実施するよう指示していました。
攻撃者のテスト環境は、Windows Server 2022を稼働させる複数の仮想マシンを使用し、専用のコントロール環境まで整えてレッドチーミングのプロセスを再現していました。「1台のVMはSophosエージェントのバイパスツールのテストに使用され、別の1台はCrowdStrikeエージェント用、3台目はEDRエージェントを搭載しないコントロール環境でした。Ubuntuを稼働させる4台目のVMは、SliverポストエクスプロイテーションフレームワークのC2サーバーとして機能していました」とSophosは述べています。
Sophosは脅威アクターが使用した複数のLLMツールを特定しました。マルウェア開発にはAI搭載コーディングエディターのCursorが用いられ、攻撃者のAIエージェントが主に使用したモデルはClaude Opusでした。これらのエージェントは特に、マルウェアテストの調整・自動化や、オペレーショナルセキュリティに関連するその他の機能を担うために活用されました。
基本対策の徹底
このブログは斬新なマルウェアテスト環境に焦点を当てていますが、Sophosによれば、このフレームワークは標的環境における隠密なポストエクスプロイテーション活動を支援するために構築されたものであり、「既知のランサムウェア展開およびデータ窃取作戦」と関連していたとのことです。
Sophosは、この活動には高度な要素が含まれているものの、組織は多層防御(defense-in-depth)の実践といった実績ある手法によって自身を守ることができると指摘しています。「適時なパッチ適用、多要素認証(MFA)、パスキーなどの最新認証メカニズム、そして効果的なEDRソリューションの幅広い導入といった基本対策は依然として欠かせません」とSophosは述べています。
Dark ReadingはSophosに追加情報を問い合わせています。
翻訳元: https://www.darkreading.com/endpoint-security/attackers-automate-edr-evasion-testing
