ソフォスは、まれな悪意のあるドライバーでランサムウェア攻撃を阻止しますが、有効な Microsoft デジタル証明書で署名されています。 このドライバーは、Endpoint Detection and Response (EDR) プロセスを対象としています。 この攻撃は、Cuba Ransomware Group に関連しています。
ソフォスは、正当なデジタル証明書で署名された複数のドライバに悪意のあるコードを発見しました。 新しいレポート「Signed Driver Malware Moves up the Software Trust Chain」では、ランサムウェア攻撃の試みから始まった調査について詳しく説明しています。 攻撃者は、Microsoft の正規の Windows Hardware Compatibility Publisher デジタル証明書で署名された悪意のあるドライバーを使用しました。
有効な Microsoft 証明書を使用する悪意のあるドライバー
悪意のあるドライバーは、主要なエンドポイントの検出と対応 (EDR) ソフトウェア パッケージで使用されるプロセスを特に標的にしています。 キューバ ランサムウェア グループに関連する脅威アクターに関連付けられたマルウェアによってインストールされました。キューバ ランサムウェア グループは、過去 100 年間で世界中の XNUMX 社以上の企業への攻撃に成功した多作なグループです。 Sophos Rapid Response は攻撃を阻止しました。 この調査により、Sophos と Microsoft の間で広範な協力が行われ、脅威を排除するための措置が取られました。
盗まれた証明書の問題
ドライバーは、システム上で高度な特権操作を実行できます。 特に、カーネル モード ドライバーは、セキュリティ ソフトウェアを含む多くの種類のソフトウェアを終了できます。 どのドライバーをロードできるかを制御することは、この種の攻撃からコンピューターを保護する XNUMX つの方法です。 Windows では、ドライバを読み込む前に、ドライバに暗号署名 (「承認スタンプ」) を付ける必要があります。
ただし、ドライバーの署名に使用されるすべてのデジタル証明書が同等に信頼されているわけではありません。 盗まれて漏洩したデジタル署名証明書の一部は、後にマルウェアの署名に使用されました。 他の証明書は、悪意のある PUA ソフトウェア メーカーによって購入され、使用されました。 ランサムウェア攻撃の際にエンドポイント セキュリティ ツールを妨害するために使用された悪意のあるドライバをソフォスが調査した結果、攻撃者は協調して、信頼性の低いデジタル証明書からより信頼性の高い証明書に移行しようとしていることが判明しました。
キューバが関与している可能性が最も高い
「キューバのランサムウェア グループのメンバーである可能性が高いこれらの攻撃者は、自分たちが何をしているのかを知っており、しつこくやっています」と、ソフォスの脅威調査担当シニア マネージャーであるクリストファー バッド (Christopher Budd) は述べています。 「合計 XNUMX 個の悪意のあるドライバーを発見しましたが、そのすべてが元の検出の亜種です。 これらのドライバーは、信頼性を高めるための協調的な努力を示しており、最年長のドライバーは少なくとも XNUMX 月までさかのぼります。 これまでに見つかった最も古いドライバーは、未知の中国企業からの証明書で署名されていました。 その後、彼らは、有効で漏洩し、取り消された NVIDIA 証明書を使用してドライバーに署名することに成功しました。
現在、彼らは、Windows エコシステムで最も信頼されているエンティティの XNUMX つである Microsoft の正規の Windows Hardware Compatibility Publisher Digital Certificate を使用しています。 企業のセキュリティの観点から見ると、攻撃者には有効な企業の資格情報が与えられており、問題なく建物に入り、好きなように行動できます」と Christopher Budd 氏は続けます。
プロセスの終了を試みています
試みられたランサムウェア攻撃で使用された実行可能ファイルを詳しく調べたところ、キューバのランサムウェア グループに属する既知のマルウェアである BURNTCIGAR ローダーの亜種を使用して、悪意のある署名付きドライバーがターゲット システムにダウンロードされたことが明らかになりました。 ローダーがドライバーをシステムにダウンロードすると、主要なエンドポイント セキュリティおよび EDR ソフトウェア パッケージで一般的に使用される 186 の異なる実行可能ファイル名の XNUMX つが起動するのを待ち、それらのプロセスを強制終了しようとします。 成功した場合、攻撃者はランサムウェアを展開できます。
すべての主要な EDR 製品をバイパスしようとする
「2022 年には、ランサムウェアの攻撃者が、ほとんどではないにしても多くの大手メーカーの EDR 製品を迂回しようとする傾向が強まっていることがわかりました」と Christopher Budd 氏は続けます。 「最も一般的な手法は、BlackByte が最近使用している「bring your own driver」として知られています。 攻撃者は、正規のドライバーの既存の脆弱性を悪用します。 悪意のあるドライバーをゼロから作成し、正当な機関に署名してもらうことは、はるかに困難です。 しかし、成功すれば、ドライバーは質問されることなく、必要なプロセスを実行できるため、非常に効果的です。」
ほぼすべての EDR ソフトウェアが脆弱です
この特定のドライバーの場合、ほぼすべての EDR ソフトウェアが脆弱です。 幸いなことに、ソフォスの追加の改ざん防止対策により、ランサムウェア攻撃を阻止することができました。 セキュリティ コミュニティは、追加のセキュリティ対策を実装するために、この脅威を認識する必要があります。 他の攻撃者がこのモデルを模倣すると推測できます。」
詳細は Sophos.com をご覧ください
ソフォスについて ソフォスは、100 か国の 150 億人を超えるユーザーから信頼されています。 複雑な IT の脅威とデータ損失に対する最高の保護を提供します。 当社の包括的なセキュリティ ソリューションは、導入、使用、管理が簡単です。 業界で最も低い総所有コストを提供します。 ソフォスは、受賞歴のある暗号化ソリューション、エンドポイント、ネットワーク、モバイル デバイス、電子メール、および Web 向けのセキュリティ ソリューションを提供しています。 また、独自の分析センターのグローバル ネットワークである SophosLabs からのサポートもあります。 ソフォスの本社は、米国のボストンと英国のオックスフォードにあります。