TokyoBlackHatNews

gbhackers.com 4分で読了

ランサムウェア攻撃前のAV無効化に悪用されるWindowsツール

ハッカーはランサムウェアを展開する前にアンチウイルスとEDRを無効化するため、正当なWindows管理ツールをステルス兵器に変えることがますます増えており、攻撃をより高速化、静寂化、停止困難化させています。

最初に騒々しいカスタムマルウェアをドロップする代わりに、現代的なオペレーターは信頼できるユーティリティを連鎖させてSYSTEMアクセスを得、セキュリティプロセスを終了し、その後大規模に暗号化します。

これらのバイナリの多くはデジタル署名されており、広く使用されており、通常の管理活動に見えるため、基本的な評判チェックをしばしば通過し、日常的なIT業務に溶け込みます。

攻撃者がこれらのユーティリティを重視する理由は3つあります:ベンダーから信頼を受け継ぐ、SYSTEMレベルまたはカーネルレベルの制御を提供する、そしてそれらの動作がアクティブな侵入ではなく日常的なメンテナンスに見えるためです。

報告書によると、Process Hacker、IOBit Unlocker、PowerRun、YDArk、AuKillなどのツールはトラブルシューティング、ドライバ作業、低レベルシステム管理用に構築されましたが、脅威アクターは現在それらを悪用してセキュリティレイヤーを中立化しています。

このデュアルユース問題は、IT チームが問題を修正するために依存している同じツールが、ランサムウェアバイナリが出現する前に静かに防御を破壊するために目的が変わる可能性があることを意味します。

アンチウイルス無効化がまず来る理由

アンチウイルスとEDRの無効化は、今や後付けではなく、ほとんどの成熟したランサムウェアプレイブックにおける意図的なフェーズです。

アクティブなまま残っているセキュリティツールは、実行時にペイロードをブロックし、疑わしい暗号化パターンをログに記録し、SOCチームが迅速な封じ込めに使用できるテレメトリを生成します。

サービスを終了したり、ドライバをアンロードしたり、構成を破損させたりすることで、攻撃者はペイロードが検出されずに実行できる「サイレントゾーン」を切り開きます。

AuKillに関わる最近のケースでは、オペレーターは古いProcess Explorerドライバ(PROCEXP.SYS)を悪用してカーネル権限を獲得し、EDRプロセスをシャットダウンしてから、LockBitなどのファミリーとMedusaLockerを展開しました。

典型的なランサムウェアキルチェーンでは、初期アクセスはまだフィッシング、盗まれた認証情報、または露出したリモートアクセスツールから来ていますが、フットホルド後に何が起こるかは変わっています。

攻撃者はPowerRunやYDarkなどのカーネルユーティリティを使用して権限をエスカレートし、その後サービスを終了したり、ドライバをアンロードしたり、バイナリとスタートアップキーを削除したりしてアンチウイルス無効化にピボットします。

次に、Mimikatzのような認証情報盗み取りツールを展開してLSASSからパスワードをダンプし、ラテラルムーブを行いながら、クリーンアップユーティリティはログ、レジストリトレース、スケジュール済みタスクを削除して彼らの足跡を隠します。

最後に、防御が低下し、高価値アカウントが侵害されると、ランサムウェアペイロードはSYSTEMレベルコンテキストで実行され、通常のシステムアクティビティを模倣しながらデータを暗号化します。

BYOVDとRaaSキラー

AuKillはBring Your Own Vulnerable Driver(BYOVD)アプローチを使用してこのトレンドを体現しており、正当だが脆弱なProcess Explorerドライバを読み込んでカーネルから保護されたEDRプロセスを終了します。

研究者は特定の製品を無効にするために調整された複数のAuKillバージョンを特定しており、攻撃者が被害者環境ごとに無効化ロジックをカスタマイズする方法を示しています。

これらのテクニックがターンキーキットに組み込まれるにつれて、技術スキルが限られているアフィリエイトでも、洗練された多段階のアンチウイルス無効化を実行できます。

防御回避は、単純なtaskkillスクリプトからドライバレベルの操作および事前パッケージ化されたアンチウイルスキラーRaaSオファリングのモジュールに着実に進化しました。

この悪用された管理ツールの波に対抗するために、Seqriteのエンドポイント保護プラットフォームは、ファイルベースの検出を動作ベースおよび自己保護制御と組み合わせています。

ランサムウェア保護モジュールは不正な暗号化パターンをリアルタイムで監視し、動作エンジンは大量プロセス終了、レジストリ改ざん、およびアンチウイルス無効化に伴うことが多い疑わしいSYSTEMレベルアクティビティにフラグを立てます。

自己保護機能により、攻撃者がセキュリティエージェントを終了またはアンインストールすることが困難になり、アプリケーション制御ポリシーは最初から強力な低レベルユーティリティを実行できる人を制限できます。

新しいツール変種の継続的な監視と更新された検出ルールに支えられて、このアプローチはデュアルユースバイナリをランサムウェアクルーの信頼できる武器ではなく、ディフェンダーのための資産に戻すことを目的としています。

翻訳元: https://gbhackers.com/windows-tools-abused/

ソース: gbhackers.com
#BYOVD #EDR回避 #LockBit #Windows攻撃 #アンチウイルス無効化 #セキュリティ脅威 #マルウェア #ランサムウェア #権限昇格 #防御回避

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚