ソフォスの専門家は、Microsoft Windows Hardware Compatibility Publisher (WHCP) によって署名された 100 個の悪意のあるドライバーを発見しました。 そのほとんどは、被害者のシステム上のさまざまな EDR/AV ソフトウェアを攻撃して終了させるために特別に設計された、いわゆる「EDR キラー」です。
Sophos X-Ops は、正規のデジタル証明書で署名された 133 個の悪意のあるドライバーを検出しました。 そのうち 100 件は Microsoft Windows Hardware Compatibility Publisher (WHCP) によって署名されています。 WHCP 署名付きドライバーは本質的にすべての Windows システムによって信頼されているため、攻撃者は警告を発することなくドライバーをインストールし、実質的に何の障害もなく悪意のある活動を実行できます。
ドライバーが EDR および AV ソフトウェアを麻痺させる
🔎 使用された WHCP 証明書は、2022 年初頭に正式に署名されました (画像: Sophos)。
見つかったドライバーのうち、81 個は、被害者のシステム上のさまざまな EDR/AV ソフトウェアを攻撃して終了するように特別に設計された、いわゆる「EDR キラー」でした。 これらのドライバーは、2022 年 32 月に Sophos X-Ops によって以前に発見されたドライバーと似ています。 残りのドライバー (そのうち XNUMX 個は WHCP によって署名されています) はルートキットでした。 これらのプログラムの多くは、インターネット経由で送信される機密データを秘密裏に監視するように設計されています。 X-Ops は悪意のあるドライバーを発見するとすぐに Microsoft に報告し、問題は火曜日の最新パッチで修正されました。
調査の詳細については、X-Ops ブログ記事を参照してください。 この投稿は、Microsoft が複数のドライバーに署名していることを Sophos、Mandiant、SentinelOne が報告した 2022 年 XNUMX 月の投稿の続編です。 これらのドライバーは、特に幅広い AV/EDR ソフトウェアを対象としています。
懸念される活動の増加
「昨年 XNUMX 月以来、悪意を持って署名されたドライバーを悪用し、ランサムウェアを含むさまざまなサイバー攻撃を実行する犯罪者の活動が憂慮すべき増加を観察しています。 当時、私たちは攻撃者がこの攻撃ベクトルを悪用し続けるだろうと予想していましたが、それが現実になりました。 ドライバーはオペレーティング システムの「コア」と通信することが多く、セキュリティ ソフトウェアよりも先にロードされるため、特に信頼できる機関によって署名されている場合、悪用された場合にセキュリティ対策を無効にするのに特に効果的です。
私たちが検出した悪意のあるドライバーの多くは、EDR 製品を攻撃して「オフにする」ように特別に設計されており、影響を受けるシステムはさまざまな悪意のあるアクティビティに対して脆弱なままになります。 悪意のあるドライバーの署名を取得するのは難しいため、この手法は主に標的型攻撃で高度な脅威アクターによって使用されます。 さらに、これらの特定のドライバーはベンダー固有のものではなく、広範囲の EDR ソフトウェアを対象としています。 このため、すべての IT セキュリティ チームがこの問題に対処し、必要に応じて追加の保護措置を導入する必要があります。 組織にとって、Microsoft がパッチ チューズデーに提供するパッチを実装することが重要です」と Sophos X-Ops の脅威調査ディレクター、Christopher Budd 氏は述べています。
詳細は Sophos.com をご覧ください
ソフォスについて ソフォスは、100 か国の 150 億人を超えるユーザーから信頼されています。 複雑な IT の脅威とデータ損失に対する最高の保護を提供します。 当社の包括的なセキュリティ ソリューションは、導入、使用、管理が簡単です。 業界で最も低い総所有コストを提供します。 ソフォスは、受賞歴のある暗号化ソリューション、エンドポイント、ネットワーク、モバイル デバイス、電子メール、および Web 向けのセキュリティ ソリューションを提供しています。 また、独自の分析センターのグローバル ネットワークである SophosLabs からのサポートもあります。 ソフォスの本社は、米国のボストンと英国のオックスフォードにあります。