攻撃者集団BlackByteによる、「EDR」製品を無効化する手口をSophosの研究者が特定した。これは「Windows」のある脆弱性を突くことで実現するという。攻撃手法の詳細と、それによる影響を解説する。
ランサムウェア(身代金要求型マルウェア)攻撃集団BlackByteが、セキュリティ製品である「EDR」(エンドポイント脅威検知・対処)製品を無効化する手口を考え出したという。2022年10月、セキュリティベンダーSophosで脅威研究者を務めるアンドリアス・クロプシュ氏が、同社公式ブログのエントリ(投稿)で明らかにした。
クロプシュ氏が説明した手口では、攻撃者はランサムウェアを用いて「Windows」のドライバ「RTCore64.sys」に存在する脆弱(ぜいじゃく)性を突き、EDR製品を無効にする。RTCore64.sysは、Micro-Star International(MSI)製マザーボードにおいて、エンドユーザーがビデオカードを細かく制御できるようにするためのドライバだ。
2021年から活動しているBlackByteは、RTCore64.sysの脆弱性「CVE-2019-16098」を悪用する。狙いは、WindowsがEDR製品を監視する仕組みだ。CVE-2019-16098を悪用すると、攻撃者は権限昇格や任意のプログラムを実行できるようになる。「CVE-2019-16098を悪用するには、シェルコード(機械語で記述した攻撃用プログラム)も、エクスプロイト(脆弱性悪用プログラム)も必要ない」とクロプシュ氏は説明する。
クロプシュ氏は特定したのは、CVE-2019-16098を使ってWindowsのイベント追跡やログ記録機能「ETW」(Windowsイベントトレーシング)を稼働させる仕組みを無効化する手順だ。この仕組みが無効になると、「ETWのログ記録機能を利用する全てのセキュリティ製品が使い物にならなくなる」(同氏)。この手口を「Bring Your Own Driver」という。
攻撃者はBring Your Own Driverを用いると、セキュリティ製品の脅威検出機能を回避できるようになる。Bring Your Own Driverを使用する最近の事例としてクロプシュ氏は、Avast Software(2021年にNortonLifeLockが買収を発表)の「ルートキット」対策用ドライバを悪用するランサムウェア「AvosLocker」を挙げる。ルートキットは、侵入後に盗聴などの活動をするマルウェアだ。
中編は、BlackByteの攻撃手法の仕組みと危険性を解説する。
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
AIの進化が加速する「プラットフォームビジネス」とは?
マーケットプレイス構築を支援するMiraklが日本で初のイベントを開催し、新たな成長戦略...
「マーケティングオートメーション」 国内売れ筋TOP10(2024年12月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
2024年の消費者購買行動変化 「日本酒」に注目してみると……
2023年と比較して2024年の消費者の購買行動にはどのような変化があったのか。カタリナマ...