編集部からのお知らせ
新着記事まとめPDF「ランサムウェア」
注目の記事まとめPDF「Chrome OS」

ランサムウェア「BlackByte」、ウイルス対策ソフトを無力化する攻撃を展開中

Danny Palmer (ZDNet.com) 翻訳校正: 編集部

2022-10-07 10:14

 悪名高いランサムウェアグループが新たな攻撃テクニックを用いている。この攻撃テクニックでは、ウイルス対策ソフトウェアが使用している1000以上のドライバーに存在している脆弱性を悪用することで、その検出機能をバイパス/無力化できるようになるという。

ノートPCのキーボードで入力する手
提供:Getty/Manuel Breva Colmeiro

 英サイバーセキュリティ企業Sophosのリサーチャーらは現地時間10月4日、ランサムウェア「BlackByte」の背後にいるグループが実際に行っている攻撃の詳細を発表した。

 BlackByteは比較的新しいランサムウェアだが、基幹インフラをはじめとする著名な組織/機関を標的とする一連の攻撃により、米連邦捜査局(FBI)も同グループに関する警告を発するまでになっている

 Sophosによると、BlackByteの背後にいるグループは、「Windows」のグラフィックユーティリティードライバー「RTCore64.sys」に存在している脆弱性「CVE-2019-16098」を悪用しているという。このドライバーは、グラフィックカードに対する制御を強化してオーバークロックを実行するために一般的に使用されているものだ。

 しかし、ユーザーアカウントへのアクセス権限を獲得した攻撃者は、脆弱性を悪用することで任意のメモリーに対する読み書きを実行できるようになるため、特権の昇格や、コードの実行、情報へのアクセスが可能になる。

 リサーチャーらはこれを「Bring Your Own Driver」(自らのドライバーを持ち込む)テクニックと表現している。その悪用により攻撃者は、エンドポイントでの検知および対応(EDR)製品、すなわちウイルス対策ソフトウェアで使用されている1000を超えるドライバーをバイパス/無力化できるようになる。

 この戦術は、脆弱性を突くことで標的となるシステムのカーネルと直接通信し、ウイルス対策ソフトウェアが使用している処理ルーチンとWindowsのイベントトレース機能(ETW)を無効化するよう指示するものだ。

 Sophosの脅威リサーチ担当シニアマネージャーであるChristopher Budd氏は、「コンピューターを要塞(ようさい)になぞらえると、ETWは多くのEDR製品の正面口を守る警備兵のようなものだ。警備兵が無力化されると、システム全体が極めて脆弱な状態に陥る。また、ETWは非常に多くのプロバイダーによって使用されているため、BlackByteがEDRのバイパス戦術によって攻撃できる標的の数は極めて膨大だと言える」と述べた。

 BlackByteの背後にいるグループは、この脆弱性を悪用することで誰にも知られずにシステムへアクセスする特権を獲得する。そして、ランサムウェア攻撃を仕掛けて復号鍵との引き換えに身代金の支払いを要求できるようになる。また、同グループは他の多くのランサムウェアグループと同様に、被害者のシステムからデータを盗み出し、身代金の要求に応じない場合にはそのデータを公開すると脅迫している。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    マンガでわかる―Webサイトからの情報搾取を狙うサイバー攻撃「SQLインジェクション」、どう防ぐ?

  2. 経営

    迫られる改正電子帳簿保存法対応--中小・中堅企業に最適な簡単&現実的な運用方法とは

  3. 運用管理

    AWS、GCP、Azureを中心としたクラウドネイティブ環境における5つのセキュリティ強化策

  4. 運用管理

    5G時代におけるクラウドサービスの問題点、通信の最適化・高速化を実現する「MEC」の活用事例を紹介

  5. コミュニケーション

    情報が見つからない&更新が進まないFAQページは絶対NG!効果的なFAQを作成・運用するために

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]