Avastのセキュリティソフトを無効化 研究者が明かした“驚きの手口”攻撃者集団AvosLockerの手口から考える脆弱性対策【前編】

攻撃者集団「AvosLocker」は、既存の脆弱性を悪用してマルウェア対策ソフトウェアを無効化する手口で攻撃を仕掛けている。具体的な攻撃方法を、トレンドマイクロの研究者の解説に沿って説明する。

2022年06月02日 08時15分 公開
[Arielle WaldmanTechTarget]

 トレンドマイクロの研究者クリストファー・オルドネス氏とアルビン・ニエト氏は2022年5月、同社公式ブログでエントリ(投稿)を公開した。このブログエントリが紹介するのは、Avast Software(2021年にNortonLifeLockが買収を発表)のマルウェア対策ソフトウェアを無効化する攻撃の手口だ。

セキュリティソフトを無効化する“驚きの手口”

 ブログエントリによると攻撃者集団AvosLockerはまず、標的企業にある脆弱(ぜいじゃく)なエンドポイントを調査。そのエンドポイントと通信するサーバを、自分たちの攻撃用サーバに設定した。具体的には、ログ出力ライブラリ(プログラム部品群)「Apache Log4j」の脆弱性「Log4Shell」が存在するエンドポイントを標的とした。

 AvosLockerは標的企業にある、ID・アクセス管理システム「Active Directory」サーバにアクセスして新規のユーザーアカウントを作成し、標的システムにおける操作権限を入手した。それからコマンド実行ツール「PowerShell」のスクリプトを使用して、リモートデスクトップツール「AnyDesk」などのツールをダウンロードし、標的システムへのリモートアクセスを可能にした。今回見つかったPowerShellスクリプトはこの後、Avast Softwareの正規のルートキット対策ドライバを使用してセキュリティ製品を無効化するようになっていた。

 標的企業のネットワークに侵入した後、AvosLockerは正規のツールと機能を悪用して攻撃を遂行し、痕跡を隠した。オルドネス氏とニエト氏はブログエントリで「今回は、AvosLockerがAvast Softwareのドライバを研究し、他ベンダーのセキュリティ製品を無効化する手段として悪用した」との見解を示す。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

From Informa TechTarget

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。

ITmedia マーケティング新着記事

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...

news025.png

「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。

news014.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。