脅威アクターは、ランサムウェアを展開する前にセキュリティ保護をバイパスするために、エンドポイント検出応答(EDR)キラーを急速に採用しています。
ESETリサーチとシニアマルウェア研究者Jakub Součekによる最近の技術分析によると、これらの回避ツールは現代的なランサムウェア侵入における予測可能な標準的なフェーズになっています。
ランサムウェア暗号化ツールは、大量のファイルを急速に変更する必要があるため、本質的にノイズが多いです。このような破壊的なマルウェアを検出不可能にすることは非常に困難です。
検出を積極的に回避する複雑な暗号化ツールを作成する代わりに、攻撃者は事前にセキュリティソフトウェアをオフにする外部ツールの展開を好みます。このアプローチは、ランサムウェアペイロードをシンプル、安定、かつ非常に効果的に保ちます。
ESET研究者は現在、様々なランサムウェア操作によって野生環境で積極的に使用されている約90個の異なるEDRキラーを追跡しています。
支配的な回避方法は、相変わらず独自の脆弱ドライバを持ち込む(BYOVD)技術です。典型的なBYOVDシナリオでは、攻撃者は正当だが脆弱なドライバを侵害されたマシンにドロップし、それをインストールしてから、保護されたプロセスを終了するために悪用します。
アナリストは、35個の異なる脆弱ドライバを悪用する54個のBYOVDベースのツールを特定しました。しかし、脅威のランドスケープは単純な脆弱ドライバをはるかに超えて拡大しています。
現在、攻撃者はスクリプトベースのツール、正当なアンチルートキットソフトウェアの悪用、および暗号化プロセスが開始する前にセキュリティ製品をサイレンスするために完全にドライバレスの方法を利用して配置しています。
一部のアクターはtaskkillやWindows Safe Modeなどのコマンドを活用する基本的な管理スクリプトに依然として依存していますが、より懸念される傾向は、正当なアンチルートキットソリューションの悪意のある使用です。
GMERやPC Hunterなどのツールは頻繁に悪用されています。これらの管理ユーティリティは正当なカーネルレベルのアクセスを持ち、ユーザーフレンドリーなインターフェースを備えているため、最小限の技術スキルを持つ攻撃者でも、それらを使用して保護されたセキュリティプロセスを簡単に終了できます。
さらに、ドライバレスEDRキラーの新しいクラスが急速に人気を集めています。EDRSilencerやEDR-Freezeなどのツールは、Windowsカーネルと相互作用することなく、ネットワーク通信をアクティブにブロックするか、EDRプロセスをフリーズします。
このドライバレスアプローチは、標準的なエンタープライズセキュリティチームにとって、脅威検出と防御をはるかに困難にします。
EDRキラーの作成と配布は、サイバー犯罪エコシステム全体で3つの異なるカテゴリに分類されます。まず、閉鎖されたランサムウェアグループは社内独自ツールを開発しています。
Embargo、DeadLock、Warlockなどのグループは、ツールセットに対する厳密な管理を維持しています。Warlockは重く実験し、時間をかけて少なくとも9つの異なるドライバを悪用してきており、成功を確保するために侵入ごとに複数のEDRキラーを定期的に展開しています。
第二に、多くの攻撃者が公開されている概念実証コードを修正します。BlackSnufkinのBYOVDなどのリポジトリはしばしばフォークされ、基本的なシグネチャをバイパスするために変更されます。第三に、成長する地下市場は現在、商用の「EDRキラーアズアサービス」ツールを提供しています。
DemoKiller、AbyssKiller、CardSpaceKillerなどのツールは、Qilin、Medusa、Akiraなどの主要なランサムウェア操作のアフィリエイトにアクティブに販売されています。
独立したアフィリエイト(コアランサムウェアオペレータではなく)が通常これらのEDRキラーを選択して展開するため、同じ脆弱ドライバが完全に無関係なランサムウェア株全体に現れる可能性があります。これはドライバベースの追跡を脅威アクターのグループ化のための信頼できない指標にします。
EDRキラーの上昇する脅威に対抗するために、組織は堅牢で階層化されたセキュリティポーチャを実装する必要があります。
ディフェンダーは、既知の脆弱ドライバと未許可のアンチルートキットユーティリティをブロックするための厳密なアプリケーション制御ポリシーを展開する必要があります。組織は単一のディフェンス層に依存することはできません。
さらに、セキュリティチームは、サービスをオフにしようとする異常な管理コマンドを監視し、新興のドライバレス回避ツールに関連する異常なネットワークブロッキング動作を探す必要があります。
翻訳元: https://cyberpress.org/ransomware-groups-increasingly-turn-to-edr-killers/