Avastのセキュリティソフトを無効化 研究者が明かした“驚きの手口”攻撃者集団AvosLockerの手口から考える脆弱性対策【前編】

攻撃者集団「AvosLocker」は、既存の脆弱性を悪用してマルウェア対策ソフトウェアを無効化する手口で攻撃を仕掛けている。具体的な攻撃方法を、トレンドマイクロの研究者の解説に沿って説明する。

2022年06月02日 08時15分 公開
[Arielle WaldmanTechTarget]

 トレンドマイクロの研究者クリストファー・オルドネス氏とアルビン・ニエト氏は2022年5月、同社公式ブログでエントリ(投稿)を公開した。このブログエントリが紹介するのは、Avast Software(2021年にNortonLifeLockが買収を発表)のマルウェア対策ソフトウェアを無効化する攻撃の手口だ。

セキュリティソフトを無効化する“驚きの手口”

 ブログエントリによると攻撃者集団AvosLockerはまず、標的企業にある脆弱(ぜいじゃく)なエンドポイントを調査。そのエンドポイントと通信するサーバを、自分たちの攻撃用サーバに設定した。具体的には、ログ出力ライブラリ(プログラム部品群)「Apache Log4j」の脆弱性「Log4Shell」が存在するエンドポイントを標的とした。

 AvosLockerは標的企業にある、ID・アクセス管理システム「Active Directory」サーバにアクセスして新規のユーザーアカウントを作成し、標的システムにおける操作権限を入手した。それからコマンド実行ツール「PowerShell」のスクリプトを使用して、リモートデスクトップツール「AnyDesk」などのツールをダウンロードし、標的システムへのリモートアクセスを可能にした。今回見つかったPowerShellスクリプトはこの後、Avast Softwareの正規のルートキット対策ドライバを使用してセキュリティ製品を無効化するようになっていた。

 標的企業のネットワークに侵入した後、AvosLockerは正規のツールと機能を悪用して攻撃を遂行し、痕跡を隠した。オルドネス氏とニエト氏はブログエントリで「今回は、AvosLockerがAvast Softwareのドライバを研究し、他ベンダーのセキュリティ製品を無効化する手段として悪用した」との見解を示す。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

ITmedia マーケティング新着記事

news038.jpg

生活者の生成AI利用動向 10代後半はすでに5割近くが経験――リクルート調査
テキスト型生成AIサービスの利用経験者の割合は若い年代ほど高く、特に10代後半はすでに5...

news108.jpg

今度の「TikTok禁止」はこれまでとどう違う?
米国ではまたしてもTikTok禁止措置が議論されている。これまでは結局実現に至らなかった...