出典:ArtemisDiana via Alamy Stock Photo
BYOVD脅威に関するシリーズのパート2です。パート1はここで読むことができます。
かつて脅威状況では稀だったEDRキラーは、現在では複雑なランサムウェア攻撃の中心的存在となっており、エンタープライズセキュリティチームが答えを探し回る状況を招いています。
過去1年間、セキュリティ研究者はこれらのツールの周囲のエコシステムの拡大を観察してきました。これらのツールはエンドポイント検知応答(EDR)プラットフォームおよび他の脅威検知製品を対象環境で無効化することができます。EDRキラーは通常、独自の脆弱なドライバーの持ち込み(BYOVD)として知られる技術を通じてこれを実現しており、この技術は正規のソフトウェアドライバーを悪用してWindowsカーネルアクセスを使用してセキュリティプロセスを終了します。
BYOVDの成長とEDRキラーの商業化は、これらはランサムウェアグループの間で人気を集めており、ベンダーと研究者に警鐘を鳴らし、Microsoftを追い詰めています。わずかな数の脆弱なドライバーのみがこれらのEDRキラーによって実際に悪用されていますが、それらをブロックするとアプリケーションとWindowsシステムがクラッシュする可能性があります。
セキュリティチームは危機的な状況に直面しています:ランサムウェアアクターは警告なしに防御の中核コンポーネントを回避し、ネットワークをシャットダウンすることができますが、これらの脆弱なドライバーを事前にブロックすることも大きな混乱を引き起こす可能性があります。
Halcyonの研究副社長であるPeter Morganは、Dark Readingに対して、脆弱なドライバーがサイバーセキュリティのためのもう1つの不均衡な軍拡競争を作り出していると述べています。EDRプラットフォームの脆弱性を見つけてそれらを直接ハッキングするのに時間とお金を投資する代わりに、脅威アクターは多くのEDRキラーの1つを簡単に取得することができます。
「当面の間、カーネルドライバースペースが彼らにとってのスイートスポットになるだろうと思います」とMorganは述べています。
脆弱なドライバーはわずか、EDRキラーは多数
最近のレポートで、ESET研究者はほぼ90個のユニークなEDRキラーを記録しており、そのほとんどはBYOVD技術を使用しています(一部の新しい代替EDRキラーはスクリプトまたはアンチルートキット技術を使用する代わり)。これらのツールはアンダーグラウンドマーケットプレイスと公開されているプルーフオブコンセプト(PoC)エクスプロイトから容易に入手でき、「プラグアンドプレイ」コンポーネントになっています。
ESETのシニアマルウェア研究者でレポートの著者であるJakub Souček氏は、Dark Readingに対して、EDRキラーには「巨大な市場」があり、ランサムウェアアフィリエイトにツールを使用して防御を一時的に無効化してからエンクリプタをデプロイする方法を説明するのは相当に容易だと述べています。「たとえそれが数時間のウィンドウであったとしても、それはネットワークの大部分を暗号化するのに十分かもしれません」とSouček氏は述べています。
「Susanoo」と呼ばれるEDRキラーのロード画面(左)とGUI。出典:ESET
明るい面として、脅威状況は数千の悪意あるドライバーで溢れていません。なぜなら、EDRキラーのためにそれらを悪用するには専門知識が必要だからです。実際、ESET研究者は多くのEDRキラーの中で悪用されている35個の脆弱なドライバーを発見しました。残念ながら、他の要因によってセキュリティチームがこれらのドライバーを識別およびブロックするのが困難になっています。
Souček氏がブログ投稿で述べたように、脅威アクターはTruesight.sysと呼ばれるレガシードライバーの2,500を超える個別の亜種を作成しました。そして、それらすべては、デジタル署名検証プロセスの弱さにより有効なままです。
脅威アクターは脆弱なドライバーのバイナリ内の数バイトを変更して、元のデジタル署名の有効性を危険にさらすことなく新しいハッシュを作成することができます。Souček氏は述べています。したがって、脆弱なTruesight.sysドライバーの1つまたは2つのハッシュを探す代わりに、セキュリティシステムとドライバーブロックリストは2,500個のハッシュ(すべて署名されている)を考慮する必要があります。
また、デジタル証明書が取り消されたとしても、WindowsはMicrosoftのドライバー署名強制の隙間のためにドライバーをロードします。組織はBYOVD攻撃を防ぐためにMicrosoftのドライバーブロックリストを実装することができますが、それも重大な制限があります。
攻撃者をカーネルから遠ざける
ユニークなハッシュの広大な配列は、BYOVD脅威を軽減するためにブロックリストに依存する組織に問題をもたらします。Living Off the Land Driversなどのサードパーティリストが存在しますが、LOLDriversは、Microsoftのリストよりも拡張的で頻繁に更新されていますが、セキュリティチームは脅威の識別と軽減の点で依然として困難な戦いに直面しています。
LOLDriversの共同作成者でサイバーセキュリティスタートアップMagicSwordの脅威研究者であるMichael Haag氏は、問題の一部は多くの組織が脆弱なドライバーがもたらすリスクを理解していないこと、および脅威のインベントリを作成するのは極めて困難なことだと述べています。これは、どのドライバーが良いか悪いかが明白ではないためです。さらに、彼は、企業がドライバーをブロックするとネットワークがクラッシュする可能性があることを恐れていると述べています。
セキュリティチームはハイパーバイザー保護コード整合性(HVCI)またはメモリ整合性として知られるWindows機能を実装する必要があります。これはMicrosoftのブロックリスト(HVCIはWindows 11バージョン22H2(2022年にリリース)からデフォルトで有効になっています)を強制します。
しかし、Haag氏が指摘しているように、HVCIが有効になっているにもかかわらずWindowsに読み込まれるドライバーが存在しており、これらはLOLDriversが追跡する最も回避的な脅威です。現在、HVCIをバイパスできる430個の脆弱なドライバーがあり、これはプロジェクトが追跡するすべてのドライバーの約21%です。
セキュリティチームが適切にブロックリストをキュレートし、LOLDriversでMicrosoftのリストを補完するために保守していたとしても、専門家が指摘しているように、ブロックリストは完全に受動的な対策であるため、より多くの作業が必要です。組織はEDRプラットフォームとWindows Defenderでアンチタンパリング対策を有効化することができますが、カーネルアクセスと管理者権限を持つ攻撃者はそれでもそれらをバイパスすることができます。
したがって、専門家は、セキュリティチームが攻撃者がWindowsカーネルにアクセスすることを防ぐことに焦点を当てるべきだと述べています。組織は侵害された認証情報と権限昇格を監視する段階的な防御を構築する必要があります。これらはBYOVD攻撃を成功させるための重要な要素です。
「攻撃者が侵入で十分な管理者権限を持っていない場合、正規か否かに関わらず、いかなるドライバーもロードすることができません」とSouček氏は述べています。
しかし、攻撃者は数多くのツールを使用しており、セキュリティ体制の一般的な問題を悪用して、静かに認証情報を取得し、権限を昇格させています。「彼らは毎日これをやっているので、残念ながら彼らはかなり上手になりました」とSouček氏は述べています。「あなたのセキュリティが悪い場合、攻撃は20分かかるかもしれません。あなたのセキュリティが良く、攻撃者が粘り強い場合、あなたは1ヶ月間彼らと戦っているかもしれません。しかし、それはあなたにとってかなり良い兆候です。」
さらに、一部の脅威検知ベンダーは、BYOVD攻撃を特に監視および軽減するようにプラットフォームをカスタマイズしています。例えば、Halcyonは昨年、ブートシーケンスの外で新しいドライバーが読み込まれるなど、不審なカーネルアクティビティをリアルタイムで監視するための新機能であるKernel Guard Protectionを導入しました。
「カーネルドライバーが金曜日の午後3時に表示され、テナントで以前に見たことがないなら、それは興味深いです」とMorgan氏は述べています。「私たちはすべてについて完璧なことを期待していませんが、攻撃者が使用する傾向があるこれらのパターンを識別することですか?それはかなり実現可能に見えます。」
マイクロソフト、ドライバーセキュリティを強化するための対策を講じる
Microsoftは脆弱なドライバーに対する防御を強化するための圧力を受けています。先月、このソフトウェア大手はクロス署名されたカーネルドライバーへの信頼を削除する計画を発表しました。これは今月から開始され、専門家はドライバーベースの攻撃を削減するための重要な一歩だと述べています。
Microsoftは2021年にクロス署名ルート証明書プログラムを廃止し、カーネルモードコード署名のためのサードパーティデジタル証明書を効果的に禁止しました。代わりに、ドライバーはMicrosoftのWindows Hardware Compatibility Program(WHCP)を通じて署名される必要があります。
しかし、Microsoftは数年間、廃止されたクロス署名ルートプログラムを通じて署名されていた古いドライバーの一部への信頼を拡張してきました。しかし、それはもはや当てはまりません。新しいポリシーは今月のPatch Tuesdayアップデートで、Windows 11 24H2、Windows 11 25H2、Windows 11 26H1、およびWindows Server 2025を実行しているシステムのロールアウトを開始します。
「署名プログラムは、サードパーティの認証局によって管理され、ドライバー著者が証明書の秘密鍵を保存および保護する必要があり、これが悪用と認証情報の盗難につながり、顧客とそのプラットフォームをリスクにさらしました」と、MicrosoftのグループプログラムマネージャーであるPeter Waxman氏は、変更を発表するブログ投稿に書いています。
BYOVD脅威がMicrosoftのクロス署名ドライバーへの信頼を削除する決定にどの程度影響したかは明確ではありません。Dark ReadingはMicrosoftにさらなるコメントを求めて連絡しましたが、同社は拒否しました。
LOLDriversが追跡する脆弱なドライバーの大多数は、クロス署名ルートプログラムを通じて署名されています。出典:MagicSword
いずれにせよ、この動きはBYOVD攻撃に大きな影響を与えるでしょう。LOLDriversは、追跡している全サンプルの81%以上がサードパーティ認証局によってクロス署名されていると推定しています。ポリシー変更の効果は時間をかけて現れるでしょう。信頼ポリシーはMicrosoftが「評価モード」と呼ぶもので開始され、互換性の問題がないことを確認します。
しかし、評価モードは大きな欠点もあります。Windowsはドライバーロードアクティビティを、Windows 11の場合は3ブートサイクル、Windows Server 2025の場合は2ブートサイクルで100時間にわたって監視します。その間に単一の非準拠ドライバーがロードに失敗した場合、評価モードはリセットされ、別の100時間のアクティビティの監査を開始します。これは、組織が「評価モードに無期限に残る」ことを強制する可能性があります。MagicSword研究者は最近のブログ投稿で述べています。ブログ投稿で述べています。
その間、脅威アナリストは、脅威アクターが脆弱なドライバーを見つけ、それをEDRキラーにパッケージ化し、ツールのさまざまなバージョンを何度も何度も販売できる能力を破壊する方法を探すために、継続的に取り組んでいます。Windowsセキュリティと脅威分析においていくつかの進歩が遂行されており、BYOVD脅威の認識が増加しましたが、EDRキラー市場は新しい技術と変種によって駆動され、拡大を続けています。
「私たちは、ドライバーが機能する時間の量を削減したいので、それを販売するパターンが機能しなくなります」とMorgan氏は述べています。「これはずっと良い状況です。」
