ソフォスのセキュリティ スペシャリストは、比較的若いランサムウェア ギャング BlackByte による新しい詐欺を発見しました。 これらは、「Bring Your Own Driver」原則を使用して、業界全体のエンドポイント検出および応答 (EDR) ソリューションで使用される 1.000 を超えるドライバーをバイパスします。 ソフォスは、新しいレポート「Remove all the Callbacks – BlackByte Ransomware Disables EDR via RTCore64.sys Abuse」で攻撃の戦術、手法、手順 (TTP) について説明しています。
BlackByte は、今年初めにシークレット サービスと FBI による特別レポートで重要なインフラストラクチャの脅威として特定されましたが、新しいリーク サイトと新しい恐喝戦術で短い休止期間を経て、XNUMX 月に復活しました。 現在、このグループは新しい攻撃方法も開発しているようです。
脆弱性により EDR の非アクティブ化が可能
具体的には、Windows システムのグラフィック ドライバである RTCorec6.sys の脆弱性を悪用します。 この特定の脆弱性により、攻撃者はターゲット システムのカーネルと直接通信し、EDR プロバイダーおよび Microsoft-Windows-Threat-Intelligence と呼ばれる ETW (Event Tracing for Windows) プロバイダーによって使用されるコールバック ルーチンを無効にするようにコマンドを実行できます。 EDR プロバイダーは、この機能を使用して、一般的に悪用される API 呼び出しの使用を監視します。 この機能を無効にすると、この機能の上に構築された EDR も無効になります。 ソフォス製品は、説明されている攻撃戦術に対する保護を提供します。
「コンピューターを要塞と考えるなら、ETW は多くの EDR プロバイダーにとって正門の番人です。 ガードが失敗すると、システムの残りの部分が非常に脆弱になります。 また、ETW は多くのベンダーによって使用されているため、BlackByte の潜在的な標的のプールは膨大です」と、ソフォスのプリンシパル リサーチ サイエンティストであるチェスター ウィスニエフスキー (Chester Wisniewski) はコメントしています。
BlackByte ランサムウェア グループ
Bring Your Own Driver を使用してセキュリティ ソリューションをバイパスするランサムウェア グループは、BlackByte だけではありません。 XNUMX 月、AvosLocker は別のドライバーの脆弱性を悪用して、ウイルス対策ソリューションを無効にしました。
「振り返ってみると、EDR 回避はランサムウェア グループにとってますます一般的な手法になっているようですが、これは驚くべきことではありません。 攻撃者は、「攻撃的なセキュリティ」によって開発されたツールや手法を使用して、最小限の労力でより迅速に攻撃を仕掛けることがよくあります。 実際、BlackByte はオープンソース ツールの EDRSandblast から EDR バイパス実装の少なくとも一部を継承しているようです」と Wisniewski はコメントしています。 「サイバー犯罪者がセキュリティ業界の技術を適応させていることを考えると、防御側は、新しい回避および悪用技術を監視し、これらの技術がサイバー犯罪の現場で広まる前に対策を講じることが重要です。
詳細は Sophos.com をご覧ください
ソフォスについて ソフォスは、100 か国の 150 億人を超えるユーザーから信頼されています。 複雑な IT の脅威とデータ損失に対する最高の保護を提供します。 当社の包括的なセキュリティ ソリューションは、導入、使用、管理が簡単です。 業界で最も低い総所有コストを提供します。 ソフォスは、受賞歴のある暗号化ソリューション、エンドポイント、ネットワーク、モバイル デバイス、電子メール、および Web 向けのセキュリティ ソリューションを提供しています。 また、独自の分析センターのグローバル ネットワークである SophosLabs からのサポートもあります。 ソフォスの本社は、米国のボストンと英国のオックスフォードにあります。