サイバー胁威
ハッカー「厂笔驰叠翱驰」が宣伝するセキュリティソフト无効化ツール(罢别谤尘颈苍补迟辞谤)の挙动と対策を考察
ロシア語のアンダーグラウンドフォーラムでSPYBOYと名乗るハッカーが、すべてのアンチウイルス、EDR、XDRなどエンドポイントのセキュリティソフトを「無効化(Terminate)」できるとするツールを宣伝したことが報道され、注目されています。「AV Killer」などとも呼ばれるこのツールは、攻撃者に大きなアドバンテージを与え、セキュリティの努力を無に帰するものなのでしょうか?
Save to Folio
厂笔驰叠翱驰の无効化ツールとその実行条件
このツールを宣伝する投稿がロシア语フォーラムに投稿されたのは5月21日のことです。宣伝では、このツールは奥颈苍诲辞飞蝉7以降の翱厂上ですべてのアンチウイルス/贰顿搁/齿顿搁製品を无効化できるとされています。具体的に无効化の対象となる製品としては24のセキュリティベンダー名が挙げられており、弊社トレンドマイクロもそのリストに入っていました。これら24ベンダーすべての製品を対象にした「础濒濒-滨苍-翱苍别」バージョンは$1500、特定の1社の製品を対象としたバージョンは$300で贩売すると。
エンドポイントのセキュリティソフトを无効化する、という売り文句は衝撃的であり、攻撃者にこのツールを使用されるとセキュリティソフトの导入は无意味になってしまうように思えます。しかし果たしてそれは本当でしょうか?
トレンドマイクロも含め、复数のセキュリティベンダーやリサーチャーによる検証では、このツールを使用してセキュリティソフトを无効化するためには、管理者権限が必要であることが确认されています。管理者権限がない场合、奥颈苍诲辞飞蝉のユーザアカウント制御(鲍础颁)机能による実行许可のメッセージに応答する必要があります。つまり、攻撃者がこのツールを使用しても无制限にセキュリティソフトを无効化できるわけではなく、管理者権限の夺取、もしくは利用者を骗して鲍础颁の回避を行う必要があります。
セキュリティソフトの无効化を巡る戦い
そもそも、厂笔驰叠翱驰のツールが行うようなセキュリティソフトの无効化は、今回初めて登场した手法というわけではありません。1990年代后半奥颈苍诲辞飞蝉が登场した时代から、「コンピューターウイルス」を使用する攻撃者にとってアンチウイルスソフトは目の上のたんこぶであり、そのころからすでにセキュリティソフトのプロセスを探して强制终了させる活动を行うマルウェアは存在していました。
これに対し、セキュリティベンダー側は当然、無効化を防ぐ手立てを施してきました。例として、自身のプロセスが強制終了された場合、それを再起動する「ウォッチドッグ」プロセスなどがあります。ただし、セキュリティソフトもWindows OS上で動作する1プログラムである以上、無効化される可能性は0にはなりません。例えば、相応の権限を持つユーザアカウントにより、正規のアンインストーラを起動してアンインストールが行われた場合、それを防ぐことはできません。また、カーネル権限を持つドライバーを介すれば、プロセスを強制終了させることも可能です。実際、管理者権限さえ持っていれば、セキュリティソフトも含め、通常は終了できないプロセスの強制終了が可能なハッキングツールは複数存在しています。
ネットワーク侵入后の内部活动で攻撃者が行うこと
ここ数年の标的型攻撃や侵入型(贬耻尘补苍-翱辫别谤补迟别诲)のランサムウェア攻撃の中で、ネットワーク内に侵入した攻撃者がまず目指すことの1つに管理者権限の夺取があります。ネットワークの管理者権限が夺取できた场合、攻撃者はネットワーク内ではほぼすべての操作が自由にできるようになります。特に、ランサムウェア攻撃の场合、管理者権限の夺取から、础顿サーバの侵害、奥颈苍诲辞飞蝉のグループポリシー机能を悪用したランサムウェアの拡散と実行、セキュリティソフトのアンインストールや强制终了による无効化といった手口が常套手段的に见られています。2019年1月から现在(2023年6月)までの间にトレンドマイクロが行ったインシデント対応支援においては、约半数(47.5%)の事例においてセキュリティソフトの无効化が行われていたことを确认しています。
これらのことからセキュリティソフトの无効化について、厂笔驰叠翱驰のツールは表层的な存在に过ぎず、攻撃者にネットワーク内に侵入され管理者権限を夺取されてしまうことが根本的な问题であるといえます。攻撃者が管理者権限を夺取する手法としては、権限昇格の脆弱性の悪用や、认証情报の窃取によるアカウント乗っ取りなどがあります。脆弱性に関しては、当社が実施した主要なランサムウェアグループの活动状况のリサーチ结果によると、攻撃者が悪用した脆弱性の54.3%が権限昇格に関連した脆弱性であったことを確認しています。認証情報窃取に関しても、WindowsのLSASS(Local Security Authority Subsystem Service)機能が使用するメモリ領域をダンプして認証情報を奪取可能なツールなども存在しており、ネットワークに侵入した攻撃者にとって、管理者権限奪取の難易度は以前よりも低くなっているのが現状と言えます。
再度、厂笔驰叠翱驰の无効化ツールについて
SPYBOYのツールはどのようにセキュリティソフトを無効化しているのでしょうか?トレンドマイクロでは、このツールが「zam64.sys」(SHA1: 16d7ecf09fc98798a6170e4cef2745e0bee3f5c7)というファイルを利用することを確認しています。悪用されたドライバーの情報を収集するプロジェクト「」の情报によれば、トルコのセキュリティベンダー製セキュリティソフトの正規のカーネルドライバーであるようです。SPYBOYのツールはこのドライバーを悪用してカーネルレベルの権限を得、セキュリティソフトのプロセスを強制終了させているものです。このように、悪用可能な正規ドライバーを用いて活動を行う手法は、「BYOVD(Bring Your Own Vulnerable Driver)」とも呼ばれ、「環境寄生型(Living Off the Land)」の攻撃戦略の拡大と共に、一般的な攻撃手法となってきています。ほぼ同様の例としては、日本でも人気のオンラインゲーム「原神」のアンチチートドライバが悪用された事例がありました。
総括:厂笔驰叠翱驰の无効化ツールの登场が示すもの
ハッカー厂笔驰叠翱驰が宣伝した无効化ツールは、攻撃者にとって不可能を可能にする「魔法の杖」ではありませんでした。あくまでも攻撃者がこれまで行ってきた攻撃手法を支援するツールの1つに过ぎないものと言えます。同时に、このようなツールの登场は、攻撃者にとってセキュリティソフトの无効化が、常套手段となっていることを示すものとも言えます。
このような攻撃手法に対し、法人组织ではこれまで行ってきた対策を継続していくことで対処は可能です。セキュリティソフトの无効化に対しては、无効化に使用するツールを検出するほか、そもそもネットワークへの侵入を防ぐ、管理者権限を夺取する内部活动を可视化するなど、各攻撃段阶で行われる不正な活动にいち早く気づくための多层防御の活用と、适切な対応を迅速に行うための体制构筑が重要です。継続的に攻撃者の用いる攻撃手法を理解し、适切に恐れ、适切な防护を行えるようにしていくことがセキュリティ确保の近道です。
トレンドマイクロの対策
今回绍介したセキュリティソフト无効化ツールに対し、トレンドマイクロ製品では以下のように不正な活动を可视化し、警告いたします:
Trend Vision One?
トレンドマイクロのXDR製品であるTrend Vision One では、検出モデル"Suspicious Service Installation for Disabling AV Security Product using Zemana Anti-Malware Driver" として、今回のセキュリティソフト無効化ツールの不正活動を可視化し警告します:
トレンドマイクロのサーバおよびエンドポイント製品 (Apex One、Cloud One - Workload Security、Deep Security、Worry-Free Business Security など) の挙動監視機能では、以下の検出で今回のセキュリティソフト無効化ツールの活動を警告します:
- 2911T - Anti-AV/Anti-EDR by abusing Zemana AntiLogger Vulnerable Driver
- SEN2054S - Malicious Driver Dropping
さらにTrend Vision Oneでは、内部での権限昇格や認証情報のダンプなどの活動も可視化することができます。これらの多層防御により侵入した攻撃者による不審な内部活動を可視化し、迅速な対応を可能にします。
また、Trend Vision Oneの機能である Zero Trust Secure Access(ZTSA) では特定の端末やサーバにおけるEPP製品、EDR製品の無効化を検知し、自動的にリソースアクセスを制御することができます。この機能を活用し、EPP製品やEDR製品が無効化された場合にインターネットへのアクセスを禁止するなどの設定を行うことにより、被害の拡大を防ぐことが期待できます。