このツールは、検知されることなくアンチウイルスおよびエンドポイント検知・対応(EDR)プロセスを終了させるよう設計されており、企業向けの高度なセキュリティシステムを回避しようとする攻撃者にとって潜在的な武器となり得る。
「防御回避を可能にするもの」として売り込まれているNtKillerは、高度な回避能力を求めるマルウェア開発やレッドチーム運用に関与する個人を標的にしているようだ。
販売者の説明によれば、NtKillerはWindows環境における複数層の保護を、HVCI(ハイパーバイザー保護コード整合性)、VBS(仮想化ベースのセキュリティ)、メモリ整合性で強化された環境を含め、静かに無効化できるという。
これらの保護は通常、悪意のあるドライバーや未署名のドライバーの実行を防ぐため、宣伝されている互換性は注目に値する。
これらの主張が本物であれば、NtKillerは攻撃者が初期段階の防御を作動させることなく、強固に保護されたシステム内で活動することを可能にし得る。
NtKillerの最も懸念すべき能力の一つは、早期ブート時の永続化メカニズムであり、これにより多くのアンチウイルスやEDR プログラムが初期化される前にペイロードを読み込ませることができる。
この手法はカーネルレベルのルートキットやブートキットで用いられる方法を反映しており、感染したデバイスに対する長期的な制御を事実上付与する。
開発者はまた、サンドボックスや仮想マシン環境を用いて挙動を解析しようとするセキュリティ研究者の妨げとなり得る、組み込みのアンチデバッグおよびアンチ解析機能も強調している。
これらの機能は、NtKillerがステルス性とフォレンジック検査への耐性に明確に焦点を当てて作られたことを示している。
さらに宣伝されている注目すべき機能として、ユーザーに警告を出さずに管理者権限を付与するサイレントUAC(ユーザーアカウント制御)バイパスがある。加えて、販売者は監視ツールから悪意のあるプロセスやファイルをさらに隠蔽する、任意のNtKillerルートキットモジュールも提供している。
AlphaGhoulのフォーラム投稿では、Microsoft Defender、ESET、Kaspersky、Bitdefender、そしてTrend Microを含む主要なセキュリティスイートとの互換性が挙げられている。また、攻撃的モードで稼働する高度なEDRプラットフォームに対しても、このツールが効果的に動作し得ると主張している。
販売者は中核となるNtKillerユーティリティを500米ドルで宣伝しており、ルートキットおよびサイレントUACバイパスのアドオンはそれぞれ300米ドルとされている。
総パッケージは1,100米ドルで価格設定されており、今日の地下マルウェア経済でしばしば見られるプロフェッショナルレベルの開発と保守を反映している。
セキュリティ研究者は、NtKillerのモジュール式設計と商用ソフトのような提示方法が、侵入テスト用ユーティリティと悪意あるソフトウェアの境界を曖昧にするサイバー犯罪ツールの高度化を象徴していると指摘している。
翻訳元: https://cyberpress.org/ntkiller-malware/