search
ja日本語
banner
ホームページ / ブログ / ターミネーター ウイルス対策キラーは、脆弱な Windows ドライバーを偽装したものです
ブログ
pageSearch
最新ニュース

ターミネーター ウイルス対策キラーは、脆弱な Windows ドライバーを偽装したものです

Apr 10, 2023Apr 10, 2023

Spyboy として知られる脅威アクターが、ロシア語圏のハッキング フォーラムで、ウイルス対策、XDR、EDR プラットフォームを終了できる「ターミネーター」と呼ばれるツールを宣伝しています。 しかし、CrowdStrikeは、これは単なる派手なBring Your Own Vulnerable Driver (BYOVD)攻撃であると述べています。

Terminator は、Windows 7 以降を実行しているデバイス上で、Windows Defender を含む 24 種類のウイルス対策 (AV)、エンドポイント検出と応答 (EDR)、および拡張検出と応答 (XDR) セキュリティ ソリューションをバイパスできると言われています。

Spyboy は、単一バイパスの 300 ドルからオールインワン バイパスの 3,000 ドルまでの価格でソフトウェアを販売しています。

「次の EDR は単独で販売できません: SentinelOne、Sophos、CrowdStrike、Carbon Black、Cortex、Cylance」と脅威アクターは述べ、「ランサムウェアとロッカーは許可されておらず、そのような行為に対して私は責任を負いません」という免責事項を付け加えています。

Terminator を使用するには、「クライアント」は対象の Windows システムに対する管理者権限を必要とし、ツールの実行時に表示されるユーザー アカウント制御 (UAC) ポップアップを受け入れるようにユーザーをだます必要があります。

しかし、CrowdStrike のエンジニアが Reddit の投稿で明らかにしたように、ターミネーターは、zamguard64.sys または zam64.sys という名前の正規の署名済み Zemana マルウェア対策カーネル ドライバーを、4 から 4 までのランダムな名前で C:\Windows\System32\ フォルダーにドロップするだけです。 10文字。

悪意のあるドライバーがディスクに書き込まれると、ターミネーターはそのドライバーをロードしてカーネル レベルの権限を使用し、デバイス上で実行されている AV および EDR ソフトウェアのユーザー モード プロセスを強制終了します。

ターミネーター プログラムがドライバーとどのように連携しているかは明らかではありませんが、ドライバーの欠陥を悪用して Windows カーネル特権でコマンドを実行する PoC エクスプロイトが 2021 年にリリースされ、通常は保護されているセキュリティ ソフトウェア プロセスを終了するために使用される可能性があります。

VirusTotal スキャンによると、このドライバーは、現時点では単一のマルウェア対策スキャン エンジンによってのみ脆弱なドライバーとして検出されています。

幸いなことに、Nextron Systems の研究責任者 Florian Roth 氏と脅威研究者の Nasreddine Bencherchali 氏は、防御側が Terminator ツールで使用される脆弱なドライバーを検出するのに役立つ YARA および Sigma (ハッシュおよび名前による) ルールをすでに共有しています。

この手法は、侵害されたマシン上で実行されているセキュリティ ソフトウェアをバイパスし、悪意のあるコードを実行し、追加の悪意のあるペイロードを配信する権限を昇格させた後、脆弱な Windows ドライバーをインストールすることを好む攻撃者の間で蔓延しています。

知られているように、Bring Your Own Vulnerable Driver (BYOVD) 攻撃では、有効な証明書で署名され、カーネル権限で実行できる正規のドライバーが被害者のデバイスにドロップされ、セキュリティ ソリューションが無効になり、システムが乗っ取られます。

金銭目的のランサムウェア集団から国家支援のハッキング組織に至るまで、さまざまな脅威グループが長年にわたってこの技術を使用してきました。

最近では、Sophos X-Ops のセキュリティ研究者が、BYOVD 攻撃でランサムウェアを展開する前に、脆弱な Process Explorer ドライバを利用して EDR ソフトウェアを無効にするために実際に使用されている AuKill と呼ばれる新しいハッキング ツールを発見しました。

Microsoft、Surface ラップトップでカメラが動作しない問題の修正を共有

Microsoft Defender ウイルス対策に開発ドライブの「パフォーマンス モード」が追加されました

BlackCat ランサムウェア攻撃に使用される悪意のある Windows カーネル ドライバー

オープンソース XDR である Wazuh によるデータ盗難の検出

この期間限定セールで Malwarebytes プレミアム + プライバシーを 50% オフで手に入れましょう

前: さまざまなウイルスエフェクターがホルモンを抑制する 次: ダウン症候群のいくつかの特徴は、抗ウイルス免疫反応の亢進に関連している可能性があります
お問い合わせを送信
送信