2022年06月02日 08時15分 公開
特集/連載

Avastのセキュリティソフトを無効化 研究者が明かした“驚きの手口”攻撃者集団AvosLockerの手口から考える脆弱性対策【前編】

攻撃者集団「AvosLocker」は、既存の脆弱性を悪用してマルウェア対策ソフトウェアを無効化する手口で攻撃を仕掛けている。具体的な攻撃方法を、トレンドマイクロの研究者の解説に沿って説明する。

[Arielle Waldman,TechTarget]

 トレンドマイクロの研究者クリストファー・オルドネス氏とアルビン・ニエト氏は2022年5月、同社公式ブログでエントリ(投稿)を公開した。このブログエントリが紹介するのは、Avast Software(2021年にNortonLifeLockが買収を発表)のマルウェア対策ソフトウェアを無効化する攻撃の手口だ。

セキュリティソフトを無効化する“驚きの手口”

 ブログエントリによると攻撃者集団AvosLockerはまず、標的企業にある脆弱(ぜいじゃく)なエンドポイントを調査。そのエンドポイントと通信するサーバを、自分たちの攻撃用サーバに設定した。具体的には、ログ出力ライブラリ(プログラム部品群)「Apache Log4j」の脆弱性「Log4Shell」が存在するエンドポイントを標的とした。

 AvosLockerは標的企業にある、ID・アクセス管理システム「Active Directory」サーバにアクセスして新規のユーザーアカウントを作成し、標的システムにおける操作権限を入手した。それからコマンド実行ツール「PowerShell」のスクリプトを使用して、リモートデスクトップツール「AnyDesk」などのツールをダウンロードし、標的システムへのリモートアクセスを可能にした。今回見つかったPowerShellスクリプトはこの後、Avast Softwareの正規のルートキット対策ドライバを使用してセキュリティ製品を無効化するようになっていた。

 標的企業のネットワークに侵入した後、AvosLockerは正規のツールと機能を悪用して攻撃を遂行し、痕跡を隠した。オルドネス氏とニエト氏はブログエントリで「今回は、AvosLockerがAvast Softwareのドライバを研究し、他ベンダーのセキュリティ製品を無効化する手段として悪用した」との見解を示す。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

ITmedia マーケティング新着記事

news154.jpg

ナイキ vs アディダス Z世代の心をつかむアプローチの違い
有名人や人気ファッションブランドとのコラボに加え、環境や社会問題への取り組みなど、...

news025.jpg

求心力のある変革ビジョンに必要な「PECの工夫」
変革ビジョンの策定に当たっては、その内容もさることながら「決め方や伝え方」に心を配...

news045.jpg

マーケティングDXをけん引するリーダーの役割
デジタルツールとデータを活用することで優れた顧客体験を提供するマーケティングDXの推...