Qilinランサムウェアグループは、300以上のエンドポイント検出・応答(EDR)ソリューションを無効化できる高度で複数段階の感染チェーンを展開しており、ランサムウェア実行前にセキュリティツールを事実上盲目化させています。
攻撃は古典的なDLLサイドローディング技法で始まります。正規のWindowsアプリケーションが、本物のWindowsシステムライブラリではなく、悪意のある「msimg32.dll」ファイルを誤ってロードします。
即座の疑いを回避するため、不正なDLLはすべての通常のアプリケーションリクエストを実ライブラリに転送し、正当なシステムアクティビティの外観を保ちます。
ロード後、マルウェアはDLLの初期化関数から隠されたペイロードをトリガーし、複雑な回避チェーンを起動します。
カスタムローダーはセキュリティイベントログを抑制し、標準的なユーザーモードフックを無効化し、構造化例外処理(SEH)とベクトル化例外処理(VEH)の両方を活用して、振る舞いスキャナーから実行フローを隠ぺいします。
特殊なシステムコール走査技法も使用され、クリーンなシステムコールを識別し、ローカルEDRソフトウェアによって確立された行動監視を完全に回避します。
最終ペイロードを展開する前に、マルウェアは侵害されたシステムの言語設定をチェックして基本的なジオフェンシングを実行します。
ソビエト後の言語パックが検出されると、プロセスは意図的にクラッシュし、それらの地域のシステムへの感染を避けるための意図的な動きです。
これはロシア系列のランサムウェア演算子の間で一般的な戦術で、国内の法執行機関の注意を回避するために設計されています。
最終ペイロードはその後、共有メモリビューを使用してシステムメモリに直接復号化およびマップされ、EDRキラーが暗号化されていない状態でハードドライブに触れることがないようにしており、従来のファイルベースの検出を完全に無効にする技法です。
ペイロードがアクティブになると、マルウェアは権限を管理者レベルに昇格させ、セキュリティツールを内部から解体するための2つのカーネルレベルのヘルパードライバーをロードします。
正当に署名されたドライバー(rwdrv.sys)を悪用することで、マルウェアはWindows Driver Signature Enforcementをバイパスします。
その後、300以上のターゲットEDRドライバーのハードコードされたリストを反復処理し、重要なシステムイベント、プロセス作成、スレッド作成、イメージロードの監視コールバックを体系的に登録解除し、カーネルレベルでEDRツールを事実上盲目化させます。
痕跡を隠すため、マルウェアは特定のカーネル検証関数を上書きすることで、Windows Code Integrity enforcementを一時的に無効化します。
これはクラッシュやセキュリティアラートをトリガーすることなくカーネル構造を自由に変更できる脆弱性ウィンドウを作成します。
EDRソフトウェアが完全に無効化されると、マルウェアは元の整合性チェックを復元してフォレンジック証拠を削減し、Qilinランサムウェアペイロードが検出されずに実行されるようにします。
このキャンペーンは攻撃者戦略における危険な転換を強調しています。防御を単に回避するのではなく、現代のランサムウェアグループは最終ペイロードを展開する前に、セキュリティレイヤー自体を積極的に解体しています。
翻訳元: https://cyberpress.org/qilin-ransomware-4/