新たに検出されたサイバーキャンペーンが、信頼されているが脆弱なWindowsドライバーを悪用し、セキュリティ保護を回避してリモートアクセスツールをインストールしています。
この攻撃はCheck Point Research(CPR)によってSilver Fox APTグループに帰属されており、かつて安全と考えられていたMicrosoft署名済みドライバーを攻撃者が悪用するリスクを浮き彫りにしています。
Microsoft署名済みドライバーの悪用
攻撃の中心となっているのは、WatchDog Antimalwareドライバー(amsdk.sys、バージョン1.0.600)です。
このドライバーはMicrosoftによって署名され、これまで脆弱とされていませんでしたが、攻撃者はこれを悪用してアンチウイルスやEDRツールに関連するプロセスを終了させ、ValleyRATの展開を可能にしました。ValleyRATは監視、コマンド実行、データの持ち出しが可能なモジュラー型バックドアです。
Silver Foxはまた、Windows 7からWindows 11までのシステムとの互換性を維持するため、古いZemanaベースのドライバー(ZAM.exe)にも依存していました。
両方のドライバーは任意のプロセス終了を可能にし、攻撃者が保護されたプロセスでさえ無効化できるようにしていました。
Windowsドライバー悪用戦術の詳細はこちら:Windowsドライバーの脆弱性がシステムクラッシュを引き起こす
研究者は、グループがすべての要素を自己完結型のローダーバイナリにパックしていたことを発見しました。
各サンプルには以下が含まれていました:
-
解析回避機能
-
永続化メカニズム
-
2つの組み込みドライバー
-
終了させるべきセキュリティプロセスのハードコードリスト
-
ValleyRATダウンローダー
このキャンペーンは急速に進化し、新しいドライバーやパッチ済みドライバーの改変版を使った亜種が作られ、検知を回避しています。
回避と帰属
ある手法では、パッチ済みWatchDogドライバー(wamsdk.sys、バージョン1.1.100)のタイムスタンプフィールドの1バイトだけを変更していました。Microsoftのデジタル署名はこのフィールドをカバーしていないため、署名は有効なまま、異なるハッシュ値を持つ新しいファイルとして認識されます。
攻撃に使用されたインフラは中国のサーバーにたどり着き、マルウェアの設定は東アジアで人気のあるセキュリティ製品を標的にしていました。これらの詳細とValleyRATのペイロードが組み合わさり、Silver Fox APTへの帰属につながりました。
WatchDogはローカル権限昇格の脆弱性に対応するアップデートをリリースしましたが、任意プロセス終了は依然として可能であり、システムは脆弱なままです。
CPRの調査は、署名やハッシュのチェックだけでは不十分であることを強調しています。セキュリティチームはMicrosoftの最新ドライバーブロックリストの適用、YARA検出ルールの利用、異常なドライバー活動を検知する振る舞いベースの監視の実装が推奨されています。
「我々の調査は、正規ドライバーの新たな悪用に対して、セキュリティベンダーやユーザーが継続的に警戒を怠らない必要性を強調しています」とCPRは述べています。
「これらの脆弱性の積極的な特定、報告、パッチ適用は、Bring Your Own Vulnerable Driver(BYOVD)技術を利用した進化する脅威からWindowsシステムを強化する上で極めて重要です。」
翻訳元: https://www.infosecurity-magazine.com/news/silver-fox-deploy-valleyrat/