悪名高いランサムウェアグループが新たな攻撃テクニックを用いている。この攻撃テクニックでは、ウイルス対策ソフトウェアが使用している1000以上のドライバーに存在している脆弱性を悪用することで、その検出機能をバイパス/無力化できるようになるという。
提供:Getty/Manuel Breva Colmeiro
英サイバーセキュリティ企業Sophosのリサーチャーらは現地時間10月4日、ランサムウェア「BlackByte」の背後にいるグループが実際に行っている攻撃の詳細を発表した。
BlackByteは比較的新しいランサムウェアだが、基幹インフラをはじめとする著名な組織/機関を標的とする一連の攻撃により、米連邦捜査局(FBI)も同グループに関する警告を発するまでになっている。
Sophosによると、BlackByteの背後にいるグループは、「Windows」のグラフィックユーティリティードライバー「RTCore64.sys」に存在している脆弱性「CVE-2019-16098」を悪用しているという。このドライバーは、グラフィックカードに対する制御を強化してオーバークロックを実行するために一般的に使用されているものだ。
しかし、ユーザーアカウントへのアクセス権限を獲得した攻撃者は、脆弱性を悪用することで任意のメモリーに対する読み書きを実行できるようになるため、特権の昇格や、コードの実行、情報へのアクセスが可能になる。
リサーチャーらはこれを「Bring Your Own Driver」(自らのドライバーを持ち込む)テクニックと表現している。その悪用により攻撃者は、エンドポイントでの検知および対応(EDR)製品、すなわちウイルス対策ソフトウェアで使用されている1000を超えるドライバーをバイパス/無力化できるようになる。
この戦術は、脆弱性を突くことで標的となるシステムのカーネルと直接通信し、ウイルス対策ソフトウェアが使用している処理ルーチンとWindowsのイベントトレース機能(ETW)を無効化するよう指示するものだ。
Sophosの脅威リサーチ担当シニアマネージャーであるChristopher Budd氏は、「コンピューターを要塞(ようさい)になぞらえると、ETWは多くのEDR製品の正面口を守る警備兵のようなものだ。警備兵が無力化されると、システム全体が極めて脆弱な状態に陥る。また、ETWは非常に多くのプロバイダーによって使用されているため、BlackByteがEDRのバイパス戦術によって攻撃できる標的の数は極めて膨大だと言える」と述べた。
BlackByteの背後にいるグループは、この脆弱性を悪用することで誰にも知られずにシステムへアクセスする特権を獲得する。そして、ランサムウェア攻撃を仕掛けて復号鍵との引き換えに身代金の支払いを要求できるようになる。また、同グループは他の多くのランサムウェアグループと同様に、被害者のシステムからデータを盗み出し、身代金の要求に応じない場合にはそのデータを公開すると脅迫している。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
