“NtKiller”と呼ばれる新たで高度な防御回避ツールが地下のサイバー犯罪フォーラムに出現し、“AlphaGhoul”として知られる脅威アクターによって売り込まれています。
このユーティリティは、アンチウイルス(AV)およびEndpoint Detection and Response(EDR)エージェントを秘匿的に終了させるための高級ソリューションとして積極的に宣伝されており、ランサムウェア運用者や初期アクセスブローカーが企業防御を回避するための障壁を下げる可能性があります。
著名なエクスプロイトフォーラムに今週掲載されたこの広告では、NtKillerを単なるプロセスキラーではなく、包括的な「防御バイパス実現ツール」と位置付けています。
AlphaGhoulは、このツールがアラートを発生させることなくセキュリティ製品を黙らせられると主張しており、これはサイバー犯罪エコシステムで非常に需要の高い能力です。
特に注目すべき点として、同アクターはNtKillerが HVCI(Hypervisor-Protected Code Integrity), VBS(Virtualization-based Security), および メモリ整合性(Memory Integrity)をサポートすると断言しています。
これらは、機密性の高いシステムプロセスを隔離し、カーネル内で悪意あるコードが実行されるのを防ぐために設計された、重要なWindowsセキュリティ機能です。
これらの主張が正確であれば、NtKillerはBring Your Own Vulnerable Driver(脆弱なドライバーの持ち込み)BYOVD攻撃のような高度な手法を用いてカーネルレベルの権限を獲得し、内部からこれらの保護を無効化している可能性があります。
「ターゲットは起動時に終了されるため、ペイロードは検知されないままです」と広告は述べており、 早期ブート永続化 メカニズムを強調しています。
この機能は、ツールがOSのブートシーケンスの早い段階で読み込まれ、EDRセンサーが完全に初期化される前にそれらを無力化できる可能性を示唆しています。
モジュール式の価格設定と機能
NtKillerはモジュール式の価格体系で販売されており、購入者は攻撃能力をカスタマイズできます:
- Core NtKiller($500): 基本版には、「デフォルト」ソリューション(Microsoft Defender、ESET、Kaspersky、Bitdefender、Trend Microなどとして列挙)のサイレント終了、VBS/HVCI環境のサポート、そしてセキュリティ研究者を妨害するためのアンチデバッグ保護が含まれます。
- NtKiller Rootkit($300): マルウェア自身のプロセス、ファイル、レジストリキーをOSから隠蔽し、長期的なステルス性を確保するために設計されたアドオンである可能性が高いです。
- サイレントUACバイパス($300): ユーザーアカウント制御(UAC)のプロンプトを静かに回避するための任意モジュールで、被害者に気付かれずに権限昇格を容易にします。
総額$1,100というパッケージ価格は、この種のユーティリティとしては中〜高価格帯に位置し、作者が「スクリプトキディ」ではなく本格的な犯罪アフィリエイトを狙っていることを示唆しています。
未検証だが危険
AlphaGhoulによる主張は憂慮すべきものですが、現時点では第三者のセキュリティ研究者によって独立に検証されていません。フォーラムの販売者が売上を伸ばすために能力を誇張するのは一般的です。
しかし、機能セットの具体性、特にVBSやメモリ整合性のバイパスへの言及は、防御側コミュニティが注視するに値します。
もし実際に機能するのであれば、NtKillerのようなツールは、保護をエンドポイントエージェントのみに依存する組織にとって重大な脅威となります。
セキュリティチームには、既知の脆弱なドライバーのインストールや予期しないサービス停止など、ドライバーベース攻撃の兆候を監視することが推奨されます。これらはしばしば、この種の回避ツールの展開に先行して発生します。
翻訳元: https://gbhackers.com/ntkiller-malware/
