高度なキャンペーンにより、正規のセキュリティドライバーの2,500種類以上の亜種が武器化され、ランサムウェアやリモートアクセス型トロイの木馬を展開する前にエンドポイント保護を無効化しています。
攻撃者は、Adlice SoftwareのRogueKillerアンチウイルススイートに含まれるカーネルモードドライバー「truesight.sys」を悪用しています。旧バージョン2.0.2には重大な脆弱性があり、IOCTLコマンド0x22E044を介して任意のプロセスを終了させることが可能です。
これにより攻撃者は、通常はユーザーモードからの終了に耐性を持つ保護されたセキュリティソフトウェアを含め、あらゆるプロセスを強制終了できます。
皮肉は明白です。システムを保護するために設計されたドライバーが、いまやセキュリティソフトを殺す主要な武器として機能しています。
Check Point Researchは2025年1月にこの作戦を発見し、攻撃者がWindowsのドライバー署名ポリシーの抜け穴を悪用して最新の防御を回避する手口を明らかにしました。
攻撃者は、ドライバーの有効なデジタル署名を維持したままPE構造を改変し、ハッシュベースの検知を回避する何千ものユニークな亜種を作成しています。
攻撃チェーン
この多段階攻撃は、フィッシングメール、偽のソフトウェアサイト、侵害されたTelegramチャンネル、またはウォータリングホール攻撃から始まります。感染は次の3段階で進行します:
ステージ1: 正規のインストーラーを装ったダウンローダーが初期アクセスを確立します。ステージ2: スケジュールタスクとDLLサイドローディングによる永続化。ステージ3: EDRキラーモジュールの展開と最終ペイロードの組み合わせ。
VMProtectで保護されたEDRキラーモジュールは、CrowdStrike Falcon、SentinelOne、Sophos、Trend Micro、Kaspersky、ESETを含む192のセキュリティ製品を標的にします。
当該モジュールは、存在しない場合はTrueSightドライバーをダウンロードし、「TCLService」としてインストールし、標的となるすべてのプロセスに終了コマンドを送信し、ディスク上のセキュリティソフトを削除し、防御側の可視性がゼロの状態で最終ペイロードを展開します。全プロセスは30分で完了し得ます。
従来のセキュリティ対策はこの脅威の前に崩れ去ります。ハッシュベースの検知は時代遅れです。攻撃者はわずか8バイト(CheckSumフィールドの4バイトと証明書パディングの4バイト)を変更するだけで、有効な署名を維持したまま2^64通りのユニークなファイルハッシュを生成できます。VirusTotalの検知率では、エンジンのうち2〜7%しか亜種を識別できません。
Microsoftの脆弱なドライバーのブロックリストには証明書のTBSハッシュが含まれているものの、別のドライバーに関連付けられていたため、2024年12月17日の更新までTrueSight 2.0.2はすり抜けていました。
このドライバーはEDRのカーネルモジュールがブロックできる前に読み込まれ、カーネルレベルでの終了はユーザーモードの改ざん防止を回避します。
現実世界への影響
Check Pointは、この主要キャンペーンを、2024年6月以降活動している金銭目的の中国系脅威アクターSilver Foxによるものとしています。この手法はランサムウェアグループ(RansomHub、Qilin、INC、BlackCat)にも拡散しています。
APTグループや地下フォーラムにも広がっています。被害者の約75%は中国本土で、15%はシンガポール、台湾、香港、残り10%はアジア太平洋地域のその他の地域です。
最終ペイロードはHiddenGh0stで、完全なリモート制御、キーロギング、画面キャプチャ、データ流出、監視機能を提供するGh0st RATの亜種です。
組織は、Microsoftの脆弱なドライバーのブロックリストを直ちに更新し、HVCI(ハイパーバイザー保護コード整合性)を有効化し、アプリケーション制御ポリシーを実装し、不審なドライバーのインストールを監視する必要があります。
このキャンペーンは、事後対応のハッシュベース検知ではポリモーフィックな脅威に対抗できないことを示しています。ドライバー悪用のプロアクティブな監視が不可欠です。
翻訳元: https://gbhackers.com/ransomware-attacks-4/
