EDRKillShifter マルウェアの脅威に注意すべき理由

サイバーセキュリティの世界では最近、EDRKillShifter と呼ばれる新しい高度なマルウェアツールが登場しました。悪名高い RansomHub ランサムウェアグループにリンクされているこのツールは、侵害されたシステム上のエンドポイント検出および対応 (EDR) ソフトウェアを無効にするように設計されています。これらの重要なセキュリティ防御を排除することで、EDRKillShifter は脅威アクターが攻撃をエスカレートする道を開き、壊滅的な結果につながる可能性があります。

EDRKillShifter は、EDR ソリューションを無効にするために AuKill (別名 AvNeutralizer) や Terminator などの同様のユーティリティを導入するサイバー犯罪者の間で広まっている傾向の一部です。これらのツールは、悪用されやすい正規のドライバー (システム上のハードウェアの機能に不可欠なソフトウェアコンポーネント) を悪用するため、特に危険です。「脆弱なドライバーを持ち込む」(BYOVD) と呼ばれるこの方法により、攻撃者はすぐに疑われることなく悪意のあるペイロードを配信できます。

Table of Contents

EDRKillShifterの仕組み

EDRKillShifter ツールは、「ローダー」実行ファイルとして動作します。これは、正当でありながら脆弱なドライバーをターゲットシステムに配信するプログラムの一種です。この配信方法により、マルウェアはドライバーの正当性を利用してセキュリティメカニズムを回避できます。ツールが実行されると、BIN と呼ばれる埋め込みリソースが復号化されます。このリソースには、Go プログラミング言語で記述された最終的なペイロードが含まれています。このペイロードは難読化されているため、検出と分析が困難です。アクティブ化されると、さまざまな脆弱なドライバーを悪用して権限を昇格し、EDR ソフトウェアを無効にして、システムの主要な防御を効果的に無効にします。

さらに分析を進めると、EDRKillShifter に関連するバイナリがロシア語のローカライズ設定のシステムでコンパイルされたことが判明し、これがマルウェアの潜在的な起源であることが示唆されました。マルウェアの動作に不可欠な組み込みドライバは、実行ファイルの .data セクション内に隠されており、検出がさらに複雑になっています。

サイバー犯罪のより広範な文脈

EDRKillShifter の背後にいるサイバー犯罪グループ RansomHub は、2024 年 2 月に出現した Knight ランサムウェアグループのブランド変更であると考えられています。このグループは、既知のセキュリティ脆弱性を悪用してシステムへの初期アクセスを獲得した経歴があります。侵入後は、Atera や Splashtop などの正規のリモートデスクトップツールを展開して永続的なアクセスを維持し、活動の検出を困難にしています。

脅威の状況をさらに複雑にしているのは、Microsoft の最近の調査結果で、悪名高い Scattered Spider 電子犯罪シンジケートが RansomHub や Qilin などの他のランサムウェアの使用と関連していることが判明したことです。この関連性は、セキュリティ対策を回避する方法を絶えず改良しているサイバー犯罪者の戦術が進化していることを強調しています。

EDRKillShifter の脅威を軽減する

EDRKillShifter のような脅威から保護するには、多層セキュリティアプローチを採用することが重要です。

定期的な更新:すべてのシステムとソフトウェアが最新のパッチで最新の状態に保たれていることを確認します。これにより、マルウェアが悪用する可能性のある既知の脆弱性を遮断できます。
改ざん防止を有効にする: EDR ソフトウェア内の改ざん防止機能を有効にして、不正な変更やセキュリティツールの無効化を防止します。
強力な Windows セキュリティプラクティスの適用:ユーザー権限と管理者権限を厳密に分離します。これにより、攻撃者が権限を昇格して悪意のあるドライバーを実行する能力が制限されます。
警戒を怠らないセキュリティ監視:ネットワークアクティビティを継続的に監視して、異常な動作、特に攻撃が継続している兆候となる可能性のあるドライバーの読み込みや実行の試みがないかどうかを確認します。

SbaProxy の台頭: 新たなステルス層

EDRKillShifter に加えて、脅威アクターが SbaProxy と呼ばれる新しいステルスマルウェアを展開していることが確認されています。このマルウェアは、BitDefender、Malwarebytes、Sophos などの評判の高い企業の正規のウイルス対策バイナリを変更するため、特に巧妙です。これらのバイナリは偽造証明書で再署名され、マルウェアがコマンドアンドコントロール (C2) サーバーを介してプロキシ接続を確立できるようになります。

SbaProxy の主な機能は、C2 サーバーと感染したマシンを介してトラフィックをルーティングするプロキシサービスを作成し、悪意のあるアクティビティを容易にすることです。このマルウェアは TCP 接続のみをサポートしていますが、その洗練された設計と正当な外観により、検出が困難になっています。

EDRKillShifter と SbaProxy の出現は、今日の組織が直面しているサイバー脅威がますます巧妙化していることを浮き彫りにしています。これらのツールは、従来のセキュリティ対策を回避し、検出されずに悪意のある活動を実行するためにサイバー犯罪者が使用する武器の一部です。これらの脅威について常に情報を入手し、堅牢なセキュリティ対策を実施することで、組織は進化するこれらの危険からシステムをより適切に保護できます。

Zane

August 16, 2024

マルウェア