TokyoBlackHatNews

gbhackers.com 4分で読了

ハッカーがカーネルレベルの防御回避を謳う「VOID」AVキラーを宣伝

Crypt4Youというハンドルネームで活動する脅威アクターが、地下のサイバー犯罪フォーラムで高度な新しい攻撃ツールの広告を開始した。これは「カーネルレベル」のセキュリティ無力化ユーティリティとして売り込まれている。

VOID KILLERと名付けられた このマルウェアは、アンチウイルス(AV)およびEndpoint Detection and Response(EDR)のプロセスを明確に終了させることを目的として設計されており、悪意あるコードを単に隠すだけの従来型「クリプター」よりも攻撃的な代替手段として位置付けられている。

長年にわたり、サイバー犯罪者はマルウェアコードを難読化して静的解析やシグネチャベースの検知を回避する「クリプター」ツールに依存してきた。

しかし、現代の振る舞い分析やクラウドベースのヒューリスティックは、これらのペイロードが実行を開始すると捕捉することが多い。

VOID KILLERは戦術の転換を示している。アンチウイルスから隠れようとするのではなく、アラートを発する前にアンチウイルスのプロセス自体を完全に殺すことを試みる。

脅威インテリジェンス研究者が監視した広告によれば、アクターはVOID KILLERが Windows Defender および50種類以上の他のコンシューマー向けアンチウイルス製品を即座に終了できると主張している。

Crypter access.

販売者は、スキャン時(ファイルがディスク上に存在している状態)と実行時(ファイルが実行される状態)の双方で「検知ゼロ」率を誇っており、これが事実であれば高度な難読化、または正規ドライバーの悪用が用いられている可能性を示唆する。

カーネルレベルの能力と主張

VOID KILLERの最も憂慮すべき特徴は、主張されている「カーネルレベル」での終了能力である。Windowsオペレーティングシステムにおいて「カーネル」は、システム内のあらゆるものを完全に制御する中核コンポーネントだ。

VOID KILLER “AV killer”.

ほとんどのコンシューマー向けアプリケーションは、権限が制限された「ユーザーモード」で動作する。一方でセキュリティソフトは、マルウェアによって無効化されないようにするため、カーネルモードドライバーを利用して自己防衛している。

「カーネルレベル」での終了を謳うことで、VOID KILLERの開発者は、Bring Your Own Vulnerable Driver(BYOVD)として知られる手法を通じて、おそらく可能な限り最高の権限で動作する方法を見つけたことを示唆している。

ただし、EDRプロセスを明示的に標的とする点は、著名なランサムウェア攻撃で確認されている傾向と一致しており、脅威アクターがネットワークを暗号化する前に「Terminator」や「AuKill」のような専用ツールで防御側を盲目化させるケースが見られる。

この手法では、既知の脆弱性を含む正規のデジタル署名付きドライバーを展開し、マルウェアがそれを悪用してカーネルアクセスを獲得し、MicrosoftのAnti-Malware Light-Weight Filter(AM-PPL)などのセキュリティ保護を無効化する。

機能と価格

広告では、中級〜上級の脅威アクター向けに設計された機能一式が詳述されている。

  • ポリモーフィックビルド: 各ビルドごとに「新しいハッシュ」を生成し、デジタル指紋を変化させてシグネチャベースのブロックリストを回避するとされる。
  • 自動UACバイパス: ユーザーアカウント制御を自動的に回避し、被害者に警告を出さずに権限昇格できると主張している。
  • ペイロード非依存: このキラーはラッパーまたはドロッパーとして機能し、ランサムウェアからインフォスティーラーまで、あらゆる種類の悪意ある実行ファイルの配布に利用できる。

このツールは現在、カスタムビルド1件あたり300ドルで販売されており、Bitcoin(BTC)、Ethereum(ETH)、Litecoin(LTC)、Monero(XMR)などの暗号通貨で支払い可能とされる。

特筆すべき点として、販売者はエンタープライズグレードのEDR/XDR終了を別サービスとして提供しており、業界リーダーである CrowdStrike や SentinelOneを名指ししている。これはおそらく、より高額なプレミアムサービスである。

脅威アクターは、ツールの動作を示すとされるデモ動画を共有しているが、セキュリティ専門家は注意を促している。

「検知ゼロ」という主張はサイバー犯罪の地下界隈では一般的であり、下位レベルの犯罪者を騙すために誇張されていることも多い。

このツールが市場に出回る中、組織には脆弱なドライバーの読み込みを試みる動きを監視し、プロセス終了の試みに抵抗できるよう、エンドポイント保護プラットフォームで改ざん防止(Tamper Protection)を有効化しておくことが推奨される。

翻訳元: https://gbhackers.com/void-av-killer/

ソース: gbhackers.com
#AVキラー #BYOVD(脆弱ドライバ悪用) #EDR無効化 #VOID KILLER #Windows Defender #カーネルレベル攻撃 #プロセス終了(Terminate) #ポリモーフィック(ハッシュ変化) #ランサムウェア攻撃手法 #暗号資産決済(BTC/ETH/XMR)

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚