近年、エンドポイント検出・対応(EDR)キラーは最新のランサムウェア攻撃における標準的な兵器になってきました。エンクリプタを起動する前に、攻撃者は昇格された権限を取得し、セキュリティ保護をオフにするツールをデプロイします。
「自分の脆弱なドライバを持参」(BYOVD)技術は依然として最も一般的な方法ですが、サイバー犯罪者は正規のアンチルートキットユーティリティの悪用やドライバレス方式を使用してEDRソフトウェアを停止させるなど、新しいアプローチをますます採用しています。
ESETの研究者は最近、約90個のアクティブなEDRキラーを分析し、これらのツールが予測可能で一貫した動作のために好まれていることを発見しました。
ランサムウェアオペレーターはEDRキラーを好みます。なぜなら、実際のエンクリプタマルウェアを隠すことは難しく、時間がかかるからです。エンクリプタは多くのファイルを素早く変更する必要があるため、本質的にノイズが多いです。
検出を回避するためにエンクリプタを常に更新する代わりに、攻撃者は外部のEDRキラーを使用して暗号化が始まる直前にセキュリティレイヤーを消去します。このプラグアンドプレイアプローチはエンクリプタをシンプルに保ち、確実な攻撃チェーンを保証します。
BYOVDツールは既知の脆弱なドライバを悪用して保護されたプロセスを終了させることで環境を支配していますが、脅威アクターは彼らの方法を大幅に多様化させています。
スキルの低い攻撃者の中には、「taskkill」のような組み込みコマンドを使用した基本的なスクリプトを使用したり、Windows安全モードを活用したりしていますが、これらの方法はノイズが多く、信頼性が低いです。
より一般的には、攻撃者はGMERやPC Hunterなどの正規のアンチルートキットツールを悪用します。これらのプログラムは元々、カーネルレベルの脅威を除去するために設計されていますが、現在はアフィリエイトによって兵器化され、セキュリティサービスを手動でシャットダウンするために使用されています。
成長中のトレンドは、カーネルを完全に回避するドライバレスEDRキラーを含んでいます。EDRSilencerのようなツールはエンドポイントとセキュリティバックエンド間の通信をブロックし、EDR-Freezeのようなツールはセキュリティプロセスを応答不可能にします。
ただし、ほとんどの攻撃者は公開されているプルーフオブコンセプト(PoC)コードを変更します。脅威アクターはしばしば調整しますデバッグメッセージやプログラミング言語などの重要でない成分を調整し、コア悪用ロジックは変わらないままにしています。
これらの進化する脅威に対抗するため、組織は脆弱なドライバをブロックするだけ以上を見なければなりません。既知の脆弱なドライバのロードを防止することは必要な一歩ですが、それは攻撃チェーンの後期に起こることが多いです。
ドライバがブロックされるまでに、we live security 攻撃者はすでに高い権限を持っており、ランサムウェアをデプロイするまで数秒です。さらに、過度に積極的なドライバブロッキングは正規のビジネスソフトウェアを中断させる可能性があります。
成功した防御には、EDRキラーが実行される前に検出して停止し、セキュリティコントロールが侵入試行全体を通じてアクティブなままであることを保証する多層的な予防戦略が必要です。
翻訳元: https://cyberpress.org/ransomware-edr-killers-evolve/