BYOVD (Bring Your Own Vulnerable Driver) は、EDR キラーとして依然として脅威アクターの間で非常に人気があります。
理由の 1 つは、これによりカーネル レベルの攻撃の可能性が高まり、マルウェアの隠蔽からログイン認証情報のスパイ、EDR ソリューションの無効化の試みまで、サイバー犯罪者に幅広い選択肢が与えられるためです。ソフォスのセキュリティ スペシャリストである Andreas Klopsch と Matt Wixey は、過去 6 か月間に Terminator ツールで何が起こったかを詳しく調査し、レポート「戻ってくる: 攻撃者は依然として Terminator ツールと亜種を悪用している」にまとめました。
ドライバーの密輸
BYOVD は、攻撃者が既知の脆弱なドライバーを侵害されたコンピューターに挿入して、カーネル レベルの権限を取得する攻撃のクラスです。サイバー犯罪者は、脆弱なドライバーを簡単に選択できます。たとえば、オープン ソース リポジトリ loldrivers.io には、対応する署名とハッシュを含む、脆弱なドライバーの 364 個のエントリがリストされています。適切なドライバーをこのように簡単に特定できることが、BYOVD 攻撃が高度な専門性を持つ攻撃者だけでなく、それほど洗練されていないランサムウェア攻撃者によっても実行される可能性がある理由の XNUMX つです。
技術的に熟練していないサイバー犯罪者の間で BYOVD が引き続き人気があるもう 2023 つの理由として考えられるのは、サイバー犯罪者が必要なキットやツールを犯罪フォーラムでほぼ市販品で購入できるという事実です。これらのツールの 300 つは 3.000 年 24 月に特に注目を集め、有名な脅威アクター「spyboy」がロシア語のランサムウェア フォーラム RAMP で Terminator と呼ばれるツールを提供しました。このツールの価格は XNUMX ドルから XNUMX ドルの間で、XNUMX のセキュリティ製品を無効にできるはずです。
これが企業が自らを守る方法です
ソフォスを含む、spyboy のリストに載っているセキュリティ プロバイダーの多くは、ドライバーの亜種を調査し、保護手段を開発するために迅速に行動しました。ソフォスでは、BYOVD 攻撃から身を守るための 4 つの手順を推奨しています。
- 考えますEndpoint Security 製品が改ざん防止を実装しているかどうか。
- 実装 BYOVD 攻撃は通常、特権昇格と UAC バイパスによって有効になるため、Windows セキュリティ ロールでは厳格な衛生管理が行われます。
- すべてのオペレーティング システム アプリケーションは常に最新であり、古いソフトウェアは削除されます。
- 記録 脆弱なドライバを脆弱性管理プログラムに組み込みます。脅威アクターは、侵害されたシステムにすでに存在する脆弱な正規ドライバーを悪用しようとする可能性があります。
ソフォスについて ソフォスは、100 か国の 150 億人を超えるユーザーから信頼されています。 複雑な IT の脅威とデータ損失に対する最高の保護を提供します。 当社の包括的なセキュリティ ソリューションは、導入、使用、管理が簡単です。 業界で最も低い総所有コストを提供します。 ソフォスは、受賞歴のある暗号化ソリューション、エンドポイント、ネットワーク、モバイル デバイス、電子メール、および Web 向けのセキュリティ ソリューションを提供しています。 また、独自の分析センターのグローバル ネットワークである SophosLabs からのサポートもあります。 ソフォスの本社は、米国のボストンと英国のオックスフォードにあります。