RansomHubによって開発され、「EDRKillShifter」の進化版と考えられている新しいエンドポイント検出および対応(EDR)キラーツールが、8つの異なるランサムウェアグループによる攻撃で確認されています。
このようなツールは、ランサムウェアの実行者が侵害したシステム上のセキュリティ製品を無効化し、ペイロードの展開、権限昇格、ラテラルムーブメントの試行、最終的にはネットワーク上のデバイスの暗号化を検知されずに行うのを助けます。
Sophosのセキュリティ研究者によると、この新しいツール(特定の名称は付けられていません)は、RansomHub、Blacksuit、Medusa、Qilin、Dragonforce、Crytox、Lynx、INCによって使用されています。
この新しいEDRキラーツールは、実行時に自己デコードされ正規アプリケーションにインジェクトされる、強く難読化されたバイナリを使用します。
このツールは、ランダムな5文字の名前を持つデジタル署名済み(盗難または期限切れ証明書)のドライバを探し、これは実行ファイルにハードコードされています。
出典:Sophos
見つかった場合、悪意のあるドライバはカーネルにロードされ、「脆弱なドライバの持ち込み(BYOVD)」攻撃を実行し、セキュリティ製品を無効化するために必要なカーネル権限を取得します。
このドライバはCrowdStrike Falcon Sensor Driverなどの正規ファイルを装いますが、実際にはAV/EDR関連のプロセスを停止し、セキュリティツールに関連するサービスを止めます。
標的となるベンダーには、Sophos、Microsoft Defender、Kaspersky、Symantec、Trend Micro、SentinelOne、Cylance、McAfee、F-Secure、HitmanPro、Webrootが含まれます。
新しいEDRキラーツールの亜種は、ドライバ名、標的とするAV、ビルドの特徴が異なりますが、すべてHeartCryptでパッキングされており、競合する脅威グループ間でも知識やツールの共有が行われている証拠があります。
Sophosは特に、このツールが流出して他の脅威アクターに再利用されたのではなく、共有かつ協力的なフレームワークを通じて開発されたものであると指摘しています。
「明確にしておくと、EDRキラーの単一のバイナリが流出して脅威アクター間で共有されたわけではありません。代わりに、それぞれの攻撃で独自ビルドの専用ツールが使用されていました」とSophosは説明しています。
このようなツールの共有戦術、特にEDRキラーに関しては、ランサムウェア業界では一般的です。
EDRKillShifterの他にも、SophosはMedusa LockerやLockBitが攻撃で使用したAuKillという別のツールも発見しています。
SentinelOneも昨年、FIN7ハッカーが独自の「AvNeutralizer」ツールをBlackBasta、AvosLocker、MedusaLocker、BlackCat、Trigona、LockBitを含む複数のランサムウェアグループに販売していたと報告しています。
この新しいEDRキラーツールに関連する完全な侵害指標(IoC)は、このGitHubリポジトリで入手可能です。
