ニュースに戻る
速報

脅威アクターが失効したEnCaseドライバーを悪用した高度なEDRキラー・ツールを活用

1分で読めますソース: BleepingComputer

セキュリティ研究者が、失効した正規のEnCaseフォレンジック・ドライバーを悪用する新たなEDRキラー・ツールを発見。Living-off-the-Land攻撃の脅威と対策を解説。

攻撃者が失効したフォレンジック・ドライバーをEDRキラー・ツールに転用

セキュリティ研究者は、正規だが失効した署名付きカーネルドライバーを悪用する新たなEDR(Endpoint Detection and Response)キラー・ツールを発見した。このツールは、検知回避とセキュリティ保護機能の無効化を目的としており、Living-off-the-Land(LotL)攻撃の一環として、信頼されたソフトウェアコンポーネントを悪用する傾向が高まっていることを浮き彫りにしている。

攻撃の主な詳細

  • ドライバーの出所:このツールは、Guidance SoftwareのEnCaseフォレンジック・ソフトウェアに含まれるencase.sysカーネルドライバーを悪用している。このドライバーはデジタル署名されていたが、悪用報告を受けて2022年にベンダーによって失効された。
  • EDRキラーの機能:マルウェアは、EDR、アンチウイルス、監視ツールを含む59のセキュリティ製品をスキャンし、それらのプロセスを終了またはサービスを無効化しようとする。
  • 攻撃ベクトル:ドライバーは、**Bring Your Own Vulnerable Driver(BYOVD)手法を通じて読み込まれ、Windowsのドライバー署名強制(DSE)**保護を回避する。
  • 検知回避署名済み(ただし失効)のドライバーを使用することで、攻撃者は正規ソフトウェアへの信頼を悪用し、カーネルレベルの操作を検知されずに実行する。

エクスプロイトの技術分析

元々フォレンジック調査における低レベルのディスクアクセスを目的として設計されたencase.sysドライバーには、直接メモリ操作を可能にする機能が含まれている。攻撃者はこの機能を悪用して以下を行う:

  • 実行中のプロセスを列挙し、セキュリティツールを特定。
  • EDR、AV、ロギングソリューションに関連するプロセスを終了または一時停止
  • カーネル構造を改変し、セキュリティソフトウェアによる検知を回避。

ここで使用されているBYOVD手法は特に懸念される。なぜなら、この手法は通常未署名のドライバーをブロックするWindowsのセキュリティメカニズムを回避するためである。Microsoftはこのドライバーの署名を失効させているが、攻撃者はドライバー署名強制が無効化されているシステムや、脆弱なブート構成を通じて依然として読み込むことが可能である。

セキュリティ運用への影響

このEDRキラー・ツールの使用は、企業のセキュリティに重大なリスクをもたらす:

  • 重要な保護機能の無効化:EDRやAVツールを無効化することで、攻撃者はランサムウェアの実行、データ流出、ラテラルムーブメントを検知されずに行うことが可能になる。
  • 持続性の課題:カーネルレベルのアクセスにより、攻撃者はシステム再起動後も持続性を維持できる。
  • フォレンジックの盲点:このツールはロギングや監視ツールを無効化する能力を持つため、攻撃の痕跡を隠蔽し、インシデント対応を複雑化する。

緩和策と対応推奨事項

セキュリティチームは、この脅威に対抗するために以下の対策を講じるべきである:

  1. 既知の悪意あるドライバーのブロック

    • Windows Defender Application Control(WDAC)Microsoft Defender for Endpointを通じてドライバーブロックリストを展開し、encase.sysのような失効ドライバーの読み込みを防止する。
    • エンドポイントログで異常なドライバー読み込みイベントを監視する。

  2. ドライバー署名強制の徹底

    • Secure Bootおよびドライバー署名強制が有効になっていることを確認し、未署名または失効ドライバーの実行を防止する。

  3. エンドポイント監視の強化

    • セキュリティソフトウェアを終了しようとするプロセスカーネルメモリを改変しようとする試みを特定するために、振る舞いベースの検知を活用する。
    • カーネルレベルの可視性を持つEDRソリューションを導入し、不審なドライバー活動を検知・ブロックする。

  4. インシデント対応の準備

    • BYOVD攻撃に対するプレイブックを作成し、影響を受けたシステムの隔離信頼できるドライバーの復元手順を含める。
    • 無効化されたセキュリティツール不正なドライバーのインストールの兆候を探す脅威ハンティングを実施する。

結論

この攻撃は、EDR回避技術の高度化、特に署名済みだが失効したドライバーの悪用の増加を浮き彫りにしている。セキュリティチームは、エンドポイント防御の強化ドライバーベースの脅威の監視、および迅速な対応の準備を整えることで、このようなツールがもたらすリスクを軽減しなければならない。

詳細については、BleepingComputerの元記事を参照のこと。

共有

TwitterLinkedIn