新たに検知されたサイバー攻撃キャンペーンが、信頼されているものの脆弱なWindowsドライバーを悪用し、セキュリティ保護を回避してリモートアクセスツールをインストールしています。
Check Point Research(CPR)がSilver Fox APTグループによるものとしたこの作戦は、かつて安全と見なされていたMicrosoft署名済みドライバーを攻撃者が悪用するリスクを浮き彫りにしています。
Microsoft署名済みドライバーの悪用
攻撃の中心にあるのは、WatchDog Antimalwareドライバー(amsdk.sys、バージョン1.0.600)です。
Microsoftによって署名され、これまで脆弱と一覧化されていなかったにもかかわらず、このドライバーはアンチウイルスおよびEDRツールに関連するプロセスを終了させるために悪用され、ValleyRAT — 監視、コマンド実行、データ流出が可能なモジュール型バックドア—の展開を可能にしました。
Silver Foxはまた、Windows 7からWindows 11までのシステム間で互換性を維持するため、古いZemanaベースのドライバー(ZAM.exe)にも依存していました。
両ドライバーはいずれも任意のプロセス終了を可能にし、攻撃者は保護されたプロセスでさえ無効化できました。
Windowsドライバー悪用の手口について詳しく読む: Windowsドライバーの脆弱性がシステムクラッシュを引き起こす
研究者らは、同グループがすべての要素を自己完結型のローダーバイナリにパックしていることを確認しました。
-
アンチ解析機能
-
永続化メカニズム
-
埋め込みドライバー2つ
-
終了させるセキュリティプロセスのハードコードされたリスト
-
ValleyRATダウンローダー
このキャンペーンは急速に進化し、検知回避のために新しいドライバーを使用したり、パッチ適用済みドライバーの改変版を用いたりする亜種が作られました。
回避と帰属
ある手法では、パッチ適用済みのWatchDogドライバー(wamsdk.sys、バージョン1.1.100)のタイムスタンプフィールド内の1バイトだけを変更していました。Microsoftのデジタル署名はこのフィールドを対象としていないため、ドライバーの署名は有効なまま — しかし異なるハッシュを持つ新しいファイルとして見えるようになりました。
攻撃に使用されたインフラは中国のサーバーにたどり着き、マルウェアの設定は東アジアで人気の高いセキュリティ製品を特に標的としていました。これらの詳細にValleyRATペイロードが組み合わさったことから、Silver Fox APTによるものと帰属されました。
WatchDogはローカル権限昇格の欠陥に対処する更新をリリースしたものの、任意のプロセス終了は依然として可能であり — システムは脆弱なままです。
CPRの調査は、署名とハッシュのチェックだけでは不十分であると強調しました。セキュリティチームには、Microsoftの最新ドライバーブロックリストの適用、YARA検知ルールの使用、異常なドライバー活動を捉えるための振る舞いベース監視の実装が推奨されています。
「我々の調査は、正規ドライバーの新たな悪用に対して、セキュリティベンダーとユーザーが警戒を怠らないための継続的な取り組みの必要性を改めて示すものです」とCPRは記しました。
「これらの脆弱性を能動的に特定し、報告し、パッチを適用することは、Bring Your Own Vulnerable Driver(BYOVD)手法を利用する進化する脅威に対してWindowsシステムを強化するうえで極めて重要です。」
翻訳元: https://www.infosecurity-magazine.com/news/silver-fox-deploy-valleyrat/
