TokyoBlackHatNews

redhotcyber.com 4分で読了

EDRが標的に:アンダーグラウンドフォーラムでNtKillerが販売

Image

マルウェア運用者マルウェアおよび初期アクセスのアクセスブローカーが出入りする閉鎖型のアンダーグラウンドフォーラム内で、サイバー脅威インテリジェンスコミュニティの注目を集める投稿が現れました。その投稿は、「NtKiller」という、アンチウイルスやEDRをサイレントに無効化するために設計されたとされる「カーネルレベル」のユーティリティを宣伝しており、ルートキット高度な永続化、そしてUACバイパスゼロデイへの明確な言及が含まれています。

提示価格は500ドルで、Telegramによる直接連絡が可能とされ、「対応」するセキュリティソリューションの一覧には、Windows Defender、ESET、Kaspersky、Bitdefender、Malwarebytes などの著名な名前が並んでいます。

これが本物であれば、サイバー犯罪-as-a-serviceの高価格帯に位置づけられる提案です。

免責事項:本レポートには、公開アクセス可能な情報源から取得したスクリーンショットおよび/またはテキストが含まれます。提供する情報は、脅威インテリジェンスおよびサイバーセキュリティ上のリスクに関する啓発のみを目的としています。Red Hot Cyberは、無許可アクセス、不適切な拡散、またはこれらのデータの違法利用をいかなる形でも非難します。現時点では、関係組織が自社ウェブサイト上で公式声明を出していないため、記載された情報の真正性を独立して検証することはできません。したがって、本記事は情報提供およびインテリジェンス目的に限って参照されるべきものです。

Image

EDRとは

EDR(Endpoint Detection and Response)は、従来型のアンチウイルスを超えることを目的に設計された高度なセキュリティソリューションです。その役割は悪性ファイルをブロックするだけではなく、システムの挙動を継続的に監視することにあります。

要するに、EDRは次を行います:

  • エンドポイントから継続的なテレメトリを収集する;
  • プロセス、システムコール、ドライバ、メモリを分析する;
  • 時間の経過に沿って不審なイベントを相関付ける;
  • システムの隔離やプロセス終了などの能動的な対応を可能にする。

従来のAVと異なり、多くのEDRはカーネルレベルで動作するため、ユーザーモードで実行される悪性コードから無効化されにくくなっています。

Image

なぜEDRが最優先の標的になるのか

現代のサイバー犯罪、とりわけランサムウェアや標的型侵入の文脈では、初期アクセス後の最初の段階はほぼ常に防御の無力化です。EDRが稼働していると:

  • 攻撃者の行動が記録される;
  • リアルタイムでアラートが生成され得る;
  • 最終段階に至る前に攻撃連鎖を断ち切れる可能性がある。

このため、EDRの「盲目化」やサイレント無効化の能力は、アンダーグラウンドフォーラムにおける市場価値となっています。

EDRはどのように回避されるのか(概念レベル)

NtKillerに関する投稿は、理論レベルで知られており、APTや高度なランサムウェアのキャンペーンで既に観測されている手法に言及しています。これは「魔法の」エクスプロイトではなく、OSアーキテクチャの深部に対する悪用です。

アンダーグラウンド界隈で一般的に議論されるバイパスの大分類としては、次が挙げられます:

  1. カーネルレベルの悪用
    悪性コードをEDRと同等の権限レベルまで引き上げることで、防御能力は大幅に低下します。このレベルでは、制御は「同格同士の戦い」になります。
  2. ドライバの操作
    署名済みの脆弱なドライバを利用(または悪用)する手法は、カーネルを直接エクスプロイトせずに特権操作を得るための技術として歴史的に観測されています。
  3. 間接的な無効化
    EDRを「殺す」のではなく、次を狙うマルウェアもあります:
    • 可視性を低下させる;
    • テレメトリに干渉する;
    • ログ記録や通信コンポーネントをブロックする。
  4. 見えない永続化
    ルートキットや早期起動メカニズムにより、マルウェアはセキュリティソリューションより先に読み込まれることが可能になります。
  5. 昇格制御のバイパス
    UACバイパスへの言及は、しばしばシステムコンポーネントへの暗黙の信頼を悪用し、ユーザーに警告を出さずに高権限を得る技術を示唆します。

アンダーグラウンドのマーケティングと運用上の現実

アンダーグラウンドフォーラムの告知がすべて実際に有効なツールに対応しているわけではない点は強調しておく必要があります。多くは:

  • 既知ツールのリブランディング;
  • 「兵器級」として売られるproof-of-concept;
  • 犯罪世界内部での露骨な詐欺。

この種の投稿は、次を裏付けています:

  • EDRは依然として防御の中核である;
  • カーネルは戦場になっている;
  • エンドポイントセキュリティは、行動監視、ドライバモデルのハードニング、プロアクティブなスレットハンティングと組み合わせる必要がある。

防御側にとって、これらのフォーラムを観察することは「攻撃のやり方を学ぶ」ことではなく、敵がどう考えるのか、どのような約束が売られているのか、そしてサイバー犯罪の地下世界で何が「価値ある能力」と見なされているのかを理解することにあります。

翻訳元: https://www.redhotcyber.com/post/edr-nel-mirino-i-forum-underground-mettono-in-vendita-ntkiller/

ソース: redhotcyber.com
#bypass UAC #cyber threat intelligence (CTI) #cybercrime-as-a-service #disattivazione antivirus #driver vulnerabili firmati #EDR #forum underground #kernel-level malware #NtKiller #rootkit

関連記事

バーンアウトはAIの綱渡り!OpenAIがChief Security Officer(CSO)を募集

デジタル時代に人間であること:なぜウェルビーイングはセキュリティの問題なのか

米国の「統合失調」ぶりは頂点に!ヨーロッパよ、テクノロジーこそがすべてを左右することに気づいているか?