セキュリティ“最後のとりで”「EDR」を無効化するWindows脆弱性 悪用の手口は:「EDR」を無効化する手口と対策【前編】
攻撃者集団BlackByteによる、「EDR」製品を無効化する手口をSophosの研究者が特定した。これは「Windows」のある脆弱性を突くことで実現するという。攻撃手法の詳細と、それによる影響を解説する。
ランサムウェア(身代金要求型マルウェア)攻撃集団BlackByteが、セキュリティ製品である「EDR」(エンドポイント脅威検知・対処)製品を無効化する手口を考え出したという。2022年10月、セキュリティベンダーSophosで脅威研究者を務めるアンドリアス・クロプシュ氏が、同社公式ブログのエントリ(投稿)で明らかにした。
EDR製品を台無しにする脆弱性 悪用の手口は
クロプシュ氏が説明した手口では、攻撃者はランサムウェアを用いて「Windows」のドライバ「RTCore64.sys」に存在する脆弱(ぜいじゃく)性を突き、EDR製品を無効にする。RTCore64.sysは、Micro-Star International(MSI)製マザーボードにおいて、エンドユーザーがビデオカードを細かく制御できるようにするためのドライバだ。
2021年から活動しているBlackByteは、RTCore64.sysの脆弱性「CVE-2019-16098」を悪用する。狙いは、WindowsがEDR製品を監視する仕組みだ。CVE-2019-16098を悪用すると、攻撃者は権限昇格や任意のプログラムを実行できるようになる。「CVE-2019-16098を悪用するには、シェルコード(機械語で記述した攻撃用プログラム)も、エクスプロイト(脆弱性悪用プログラム)も必要ない」とクロプシュ氏は説明する。
クロプシュ氏は特定したのは、CVE-2019-16098を使ってWindowsのイベント追跡やログ記録機能「ETW」(Windowsイベントトレーシング)を稼働させる仕組みを無効化する手順だ。この仕組みが無効になると、「ETWのログ記録機能を利用する全てのセキュリティ製品が使い物にならなくなる」(同氏)。この手口を「Bring Your Own Driver」という。
攻撃者はBring Your Own Driverを用いると、セキュリティ製品の脅威検出機能を回避できるようになる。Bring Your Own Driverを使用する最近の事例としてクロプシュ氏は、Avast Software(2021年にNortonLifeLockが買収を発表)の「ルートキット」対策用ドライバを悪用するランサムウェア「AvosLocker」を挙げる。ルートキットは、侵入後に盗聴などの活動をするマルウェアだ。
中編は、BlackByteの攻撃手法の仕組みと危険性を解説する。
TechTarget発 先取りITトレンド
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.