ソフォスの専門家は、Microsoft Windows Hardware Compatibility Publisher (WHCP) によって署名された 100 個の悪意のあるドライバーを発見しました。 そのほとんどは、被害者のシステム上のさまざまな EDR/AV ソフトウェアを攻撃して終了させるために特別に設計された、いわゆる「EDR キラー」です。 Sophos X-Ops は、正規のデジタル証明書で署名された 133 個の悪意のあるドライバーを検出しました。 そのうち 100 件は Microsoft Windows Hardware Compatibility Publisher (WHCP) によって署名されています。 WHCP によって署名されたドライバーは基本的にすべての Windows システムによって信頼されているため、攻撃者は警告を発することなくドライバーをインストールし、実質的に妨げられることなく悪意のあるアクティビティを実行できます。
ソフォスは、まれな悪意のあるドライバーでランサムウェア攻撃を阻止しますが、有効な Microsoft デジタル証明書で署名されています。 このドライバーは、Endpoint Detection and Response (EDR) プロセスを対象としています。 この攻撃は、Cuba Ransomware Group に関連しています。 ソフォスは、正当なデジタル証明書で署名された複数のドライバに悪意のあるコードを発見しました。 新しいレポート「Signed Driver Malware Moves up the Software Trust Chain」では、ランサムウェア攻撃の試みから始まった調査について詳しく説明しています。 攻撃者は、正規の Microsoft Windows Hardware Compatibility Publisher デジタル証明書にバンドルされた悪意のあるドライバーを使用しました。
無防備なコントロール センター: ESET は、Windows カーネルに対する攻撃を分析します。 欧州の IT セキュリティ メーカーが、APT グループ (Advanced Persistent Threat) が脆弱性を攻撃に悪用する方法に関する新しい研究結果を発表しました。 ESET Research 部門は、署名付き Windows カーネル ドライバーの脆弱性分析の結果を公開しています。 セキュリティの専門家によると、これらはいわゆる企業に対する標的型攻撃に悪用される APT (Advanced Persistent Threat) グループ。 詳細な技術分析と効果的な防御手法は、WeLiveSecurity のブログ投稿として入手できるようになりました。 Windows カーネル ドライバーの背景 Microsoft Windows オペレーティング システムには、さまざまな種類のカーネル ドライバーがあります。 デバイスドライバーには、以下に焦点を当てた厳格な開発プロセスが必要ですが…
