概要
ハッカーは、正当なWindows管理ツールを利用して、サイバーアタックの一部としてセキュリティソフトウェアを無効化する手法を採用しています。これにより攻撃がより静かで Detection されにくくなっています。
背景
現代の攻撃者は、カスタムマルウェアではなく、信頼されたユーティリティを使用してシステムアクセスを取得し、セキュリティプロセスを停止した後、大規模な暗号化を行います。これらのバイナリはデジタル署名が付いており、広く使用されており、通常のITオペレーションと似ているため、基本的なレピュテーションチェックを通過しやすくなります。
攻撃者の目的
これらのユーティリティは以下の3つの理由で攻撃者にとって価値があります:
- 信頼性: ベンダーからの信頼を引き継ぐ。
- 制御: SYSTEMレベルまたはカーネルレベルのコントロールを提供する。
- 隠蔽性: 通常のメンテナンス活動に似ているため、アクティブな侵入とは見なされにくい。
具体的なツールと手法
Process Hacker, IOBit Unlocker, PowerRun, YDArk, AuKillなどのユーティリティは本来トラブルシューティングやドライバ作業、低レベルシステム管理のために設計されていますが、攻撃者はこれらのツールをセキュリティレイヤーを無効化するための手段として悪用しています。
なぜアンチウイルスを最初に停止するのか
セキュリティツールがアクティブなままだと、ペイロードは実行時にブロックされ、不審な暗号化パターンが記録され、SOCチームが迅速に対応できるテレメトリが生成されます。攻撃者はこれらのサービスを終了したりドライバをアンロードすることで、「静かなゾーン」を作り出し、ペイロードの実行を検出されずに進めることができます。
攻撃チェーン
一般的なランサムウェアの攻撃チェーンでは、初期アクセスはフィッシングや盗まれた資格情報、または公開されたリモートアクセスツールから始まりますが、その後に何が起こるかが変化しています。攻撃者はPowerRunなどのユーティリティを使用して特権を昇進させ、次にセキュリティの無効化を行い、パスワードをダンプし、横方向に移動します。
防御戦略
Seqriteのエンドポイント保護プラットフォームはファイルベースの検出と行動ベースの制御を組み合わせています。リアルタイムで不審な暗号化パターンを監視し、大量プロセス終了やレジストリ操作などの行動をフラグ付けします。
結論
これらの技術は、攻撃者にとって信頼性のある武器となっていますが、防御者はこれらのツールを再び資産として活用するためのアプローチを採用しています。