TokyoBlackHatNews

gbhackers.com 4分で読了

EDRキラー、ランサムウェア戦術を拡大—ESETが警告

ランサムウェアグループは、脆弱なドライバを超えて、スクリプト、アンチルートキット、ドライバレス技術の幅広い組み合わせへと移行しながら、EDRキラーの使用を急速に拡大させている。

同社の最新のテレメトリベースの調査では、野生で積極的に使用されているほぼ90の異なるEDRキラーを追跡している。これらのツールが、現代のランサムウェア作戦における予測可能で標準的な段階になっていることを警告している。

典型的な侵入では、攻撃者はまず高い権限を獲得し、その後EDRキラーを起動してエンドポイント防御を盲目にするか損傷させ、ランサムウェアエンクリプタを展開する前に、

調査では、35の脆弱なドライバを悪用する54のBYOVDベースのツール、およびスクリプトベースおよびアンチルートキットユーティリティを含む、ほぼ90のEDRキラーがアクティブに使用されていることが記録されている。

重要なことに、ESETは、使用するEDRキラーを選択するのは、コアランサムウェア運営者ではなく関連会社であることを強調しており、より大きな関連会社プールは自然により多様なツーリングを生成する。

ESET は、関連会社がエンクリプタを常に再エンジニアリングして検出を回避するのではなく、この短く信頼性の高い中断ウィンドウを好むことに注意する。

この労働分業はまた、エンクリプタファミリーにのみ焦点を当てることで、ツーリングクラスタと行為者との間の重要な関係を隠すことを意味する。

脆弱なドライバを超えて

BYOVDは依然として支配的なテクニックである:攻撃者は正当だが脆弱なカーネルドライバをインストールし、その後それを悪用して保護されたプロセスを終了するか、セキュリティコールバックをオフにする。

しかし、ESETのランドスケープマッピングは、攻撃者がGMER、HRSword、PC Hunterなどの正当なアンチルートキットツールを悪用して、独自の高特権ドライバとGUIを通じてセキュリティプロセスを殺す傾向が増加していることを示している。

Image

同時に、EDRSilencerおよびEDR-Freezeなどのツールを使用して、カーネルに触れずにEDR通信をブロックするか、エージェントをフリーズする、ドライバレスEDRキラーの小さいが増加中のクラスが出現している。

これらのテクニックは、公的に利用可能であり、従来のドライバ焦点コントロールで検出するのがより難しく、リリースされてから数日以内にランサムウェア行為者に採用されているため、魅力的である。

ESETは、ドライバ中心の分析は、同じ脆弱なドライバが関連のないツールに表示され、同じEDRキラーが時間とともに異なるドライバ間を移行できるため、属性を誤解させることが多いと警告している。

BdApiUtil.sysおよびTfSysMon.sysなどのドライバは、個別の開発履歴にもかかわらず、dead-av、TfSysMon-Killer、DLKiller、Susanoo、EDRKillShifterなどの異なるコードベース間で再利用されている。

Image

商業化はさらに状況を曇らせる。DemoKiller、AbyssKiller(ABYSSWORKERルートキットおよびHeartCryptパッカーの周りに構築)、CardSpaceKiller(多くの場合VX Cryptでパックされた)などのEDRキラーは、Qilin、Akira、Medusa、DragonForceなどの複数のギャングを含むに販売または貸与されている。

Image

VX CryptおよびHeartCryptなどのパッカーアズアサービスオファリングは、別の抽象化レイヤーを追加し、ディフェンダーが対処する必要がある強力な難読化およびアンチ分析機能を提供する。

EDRキラー開発におけるAIの役割

ESETはまた、最近のいくつかのEDRキラーでのAI支援開発の兆候にも目印を付けている。AI使用を確実に証明する信頼できるフォレンジックマーカーはないが、研究者は、「可能な修正」のリストを出力し、いくつかの一般的なデバイス名を循環するWarlock関連ツールを強調している、攻撃的な使用に適応した汎用AI生成ボイラープレートを連想させる動作が見つかるまで。

EDRキラーには多くの公開されているPoCSがあるが、1つのリポジトリが目立つ:BlackSnufkinのBYOVD。

Image

これは、虐用されたドライバのセットが比較的小さいままである間、AIが、ユーザーモードコンポーネントの生成と反復に対する障壁を低下させていることを示唆している。

ドライバレイヤーでのみ防御するだけではもはや十分ではないと、ESETは警告している。既知の脆弱なドライバをブロックすることは重要だが、ドライバロードがブロックされる時点で、キルチェーンの後期に発生し、攻撃者はすでに高い権限を持っており、単にツールを切り替えることができる。

代わりに、ESETは、EDRキラーを実行前に検出および中断することを目的とした予防優先、多層的なアプローチを促し、BYOVDに対する硬化の組み合わせ、アンチルートキットの悪用の監視、およびドライバレス中断試行に関するテレメトリ駆動ハンティング。

Truesight.sysの大規模な悪用およびEnPortv.sysなどの失効または期限切れのドライバの使用に見られるように、ドライバ署名実施における弱点は、ブランケットブロッキング戦略を複雑にします。

人間が運営するランサムウェア侵入では、ディフェンダーが攻撃チェーンのすべてのステップで迅速かつ決定的に対応する場合にのみ、検出に価値がある。

翻訳元: https://gbhackers.com/edr-killers/

ソース: gbhackers.com
#BYOVD #EDRキラー #エンドポイント防御 #サイバー攻撃 #セキュリティ研究 #ドライバ悪用 #マルウェア #ランサムウェア #権限昇格 #脅威インテリジェンス

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚