概要:EDR悪用による巧妙な攻撃手口
「Storm-0249」として追跡されている初期アクセスブローカー(IAB)が、エンドポイント検知応答(EDR)ソリューションと信頼されたMicrosoft Windowsユーティリティを悪用し、マルウェアのロード、通信確立、永続化を行っています。これは、ランサムウェア攻撃の準備段階として行われるものです。この脅威アクターは、一般的なフィッシング攻撃から脱却し、よりステルスで高度な手法を採用しており、防御側が対策を講じるのが困難となっています。
SentinelOne EDRの悪用詳細
サイバーセキュリティ企業ReliaQuestの研究者による分析では、Storm-0249がSentinelOneのEDRコンポーネントを利用して悪意のある活動を隠蔽していたことが明らかになりました。研究者たちは、この手口が他のEDR製品にも通用すると指摘しています。
攻撃の開始とマルウェアの展開
- 攻撃は「ClickFix」というソーシャルエンジニアリングから始まりました。ユーザーは騙されて、Windowsの「ファイル名を指定して実行」ダイアログに
curlコマンドを貼り付け、実行させられました。 - これにより、SYSTEM権限で悪意のあるMSIパッケージがダウンロードされます。
- 偽装されたMicrosoftドメインから悪意のあるPowerShellスクリプトも取得されますが、これはディスクに触れることなく直接システムのメモリにパイプされ、アンチウイルスによる検知を回避します。
- MSIファイルは、既存の正規の
SentinelAgentWorker.exe(被害者のSentinelOne EDRの一部として既にインストールされている)の隣に悪意のあるDLLファイル(SentinelAgentCore.dll)を配置します。
DLLサイドローディングによる永続化
次に、攻撃者は署名されたSentinelAgentWorkerを利用して悪意のあるDLLをロードします(DLLサイドローディング)。これにより、DLLは信頼された特権のあるEDRプロセス内で実行され、OSのアップデート後も持続するステルスな永続化を実現します。ReliaQuestは、「正規のプロセスが悪意のあるコードを実行するため、セキュリティツールには通常のSentinelOneのアクティビティとして認識され、検知を回避します」と説明しています。
攻撃後の活動と標的のプロファイリング
攻撃者はアクセス権を得た後、SentinelOneのコンポーネントを悪用して、reg.exeやfindstr.exeといった正規のWindowsユーティリティを通じてシステム識別子を収集します。また、暗号化されたHTTPSのコマンド&コントロール(C2)トラフィックを送信します。通常であれば、レジストリクエリや文字列検索は警告を発しますが、信頼されたEDRプロセス内で行われるため、これらは通常の活動として扱われ、セキュリティメカニズムによって無視されます。
ReliaQuestの報告によると、侵害されたシステムは「MachineGuid」を使用してプロファイリングされます。これは、LockBitやALPHVなどのランサムウェアグループが暗号化キーを特定の被害者にバインドするために使用する、ユニークなハードウェアベースの識別子です。このことから、Storm-0249がその顧客であるランサムウェアのアフィリエイトのニーズに合わせて、初期アクセスを仕立て上げていることが示唆されます。
推奨される対策
信頼され署名されたEDRプロセスが悪用されると、ほぼすべての従来の監視が回避されてしまいます。研究者たちは、システム管理者に以下の対策を推奨しています。
- 振る舞いベースの検知に頼る:非標準のパスから未署名のDLLをロードする信頼されたプロセスを特定する。
curl、PowerShell、LoLBinの実行に対してより厳格な制御を設定する。