Avastのセキュリティソフトを無効化 研究者が明かした“驚きの手口”：攻撃者集団AvosLockerの手口から考える脆弱性対策【前編】

攻撃者集団「AvosLocker」は、既存の脆弱性を悪用してマルウェア対策ソフトウェアを無効化する手口で攻撃を仕掛けている。具体的な攻撃方法を、トレンドマイクロの研究者の解説に沿って説明する。

[Arielle Waldman，TechTarget]

　トレンドマイクロの研究者クリストファー・オルドネス氏とアルビン・ニエト氏は2022年5月、同社公式ブログでエントリ（投稿）を公開した。このブログエントリが紹介するのは、Avast Software（2021年にNortonLifeLockが買収を発表）のマルウェア対策ソフトウェアを無効化する攻撃の手口だ。

セキュリティソフトを無効化する“驚きの手口”

併せて読みたいお薦め記事

さまざまな製品の脆弱性

• Windowsに見つかった「RPC」の危ない脆弱性　パッチ未適用PCは全滅か？
• 北朝鮮の攻撃者グループが悪用か　「Chrome」脆弱性を突く2種類の攻撃とは
• プロ調査で脆弱性が大量に見つかってしまった“残念”な無線LANルーターとは？

　ブログエントリによると攻撃者集団AvosLockerはまず、標的企業にある脆弱（ぜいじゃく）なエンドポイントを調査。そのエンドポイントと通信するサーバを、自分たちの攻撃用サーバに設定した。具体的には、ログ出力ライブラリ（プログラム部品群）「Apache Log4j」の脆弱性「Log4Shell」が存在するエンドポイントを標的とした。

　AvosLockerは標的企業にある、ID・アクセス管理システム「Active Directory」サーバにアクセスして新規のユーザーアカウントを作成し、標的システムにおける操作権限を入手した。それからコマンド実行ツール「PowerShell」のスクリプトを使用して、リモートデスクトップツール「AnyDesk」などのツールをダウンロードし、標的システムへのリモートアクセスを可能にした。今回見つかったPowerShellスクリプトはこの後、Avast Softwareの正規のルートキット対策ドライバを使用してセキュリティ製品を無効化するようになっていた。

　標的企業のネットワークに侵入した後、AvosLockerは正規のツールと機能を悪用して攻撃を遂行し、痕跡を隠した。オルドネス氏とニエト氏はブログエントリで「今回は、AvosLockerがAvast Softwareのドライバを研究し、他ベンダーのセキュリティ製品を無効化する手段として悪用した」との見解を示す。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。