Qilin ランサムウェアグループは、300以上のエンドポイント検出・応答(EDR)ソリューションを標的にして無効化する高度に洗練された感染チェーンを開発しました。
ディフェンダーが行動検出能力を向上させるにつれて、攻撃者は侵害の初期段階でディフェンス層そのものを標的にするようになっています。
悪意ある「msimg32.dll」ファイルを展開することで、攻撃者は従来のアンチウイルス防御を回避し、ペイロードを完全にメモリ内で実行できます。
初期感染
攻撃は正規のアプリケーションが、本物のWindowsシステムライブラリの代わりに悪意あるmsimg32.dllファイルを誤ってサイドロードすることで始まります。
即座に疑いを起こさないように、このローグDLLは、すべての通常のアプリケーションリクエストをWindowsディレクトリに位置する本物のライブラリに転送します。
正常に読み込まれると、マルウェアは初期化関数から直接隠されたペイロードをトリガーして、複雑な回避プロセスを起動します。
マルウェアはセキュリティイベントログを抑制し、標準的なユーザーモードフックを中立化するために設計されたカスタムローダーを使用します。
実行フローを難読化し、基本的なスキャンからアクティビティを隠すために、構造化例外処理(SEH)とベクトル化例外処理(VEH)を大きく活用しています。
さらに、ローダーはクリーンなシステムコールを見つけるための特殊なスキャン技術を使用し、ローカルEDRソフトウェアによって確立された行動監視を完全に回避します。
最終ペイロードを実行する前に、マルウェアは侵害されたシステムの言語設定をチェックして、基本的な地理的フェンシングを実行します。
旧ソビエト連邦諸国で一般的に使用されている言語を検出した場合、プロセスは意図的にクラッシュして、それらの特定のシステムへの感染を避けます。
ペイロードは共有ビューを使用してシステムのメモリに直接復号化およびマップされ、EDR キラーが暗号化されていない状態でハードドライブに触れることがないことを保証します。
悪意あるカーネルドライバ
最終段階がアクティブになると、マルウェアは特権を管理者レベルに昇格させます。その後、2つの異なるカーネルレベルのヘルパードライバをロードして、内部から基盤となるセキュリティツールを解体します。
正当に署名されたドライバを悪用することで、マルウェアは厳格なWindowsドライバ署名を強制的にバイパスできます。
| ドライバ名 | 元のソース | 主な悪意あるアクション |
|---|---|---|
rwdrv.sys |
「ThrottleStop.sys」に改名されたもの | 物理システムメモリへの直接的な読み取り・書き込みアクセスを付与 |
hlpdrv.sys |
カスタム悪意あるドライバ | 保護されたEDRプロセスを終了し、アンチウイルスソフトウェアを無効化 |
最初のドライバによって提供される直接的な物理メモリアクセスを使用して、マルウェアはターゲットとなるEDRドライバのハードコードされたリストを反復処理します。
プロセス作成、スレッド作成、イメージロードなどの重要なシステムイベントに対する監視コールバックを体系的に登録解除します。
これにより、2番目のドライバがアクティブなバックグラウンドプロセスを強制的に終了する前に、カーネルレベルでEDRツールを効果的に目隠しします。
痕跡をカバーするために、マルウェアはWindowsコード整合性強制を一時的に無効化し、特定のカーネル検証関数を上書きします。これはTalos Intelligenceによって報告されました。
この脆弱性の時間帯に、システム構造を自由に変更でき、致命的なクラッシュやセキュリティアラートをトリガーしません。
EDRソフトウェアが正常に中立化されると、マルウェアはこれらの元の整合性チェックを復元し、法医学的な痕跡を削減し、Qilinランサムウェアが検出されないまま進行することを可能にします。
翻訳元: https://gbhackers.com/qilin-ransomware-deploys-malicious-dll/
