Sliver マルウェアによる BYOVD 攻撃:Windows にバックドアを作る手順とは?

Hackers backdoor Windows devices in Sliver and BYOVD attacks

2023/02/06 BleepingComputer — Sunlogin の脆弱性を悪用して Sliver ポスト・エクスプロイト・ツールキットを展開し、Windows Bring Your Own Vulnerable Driver (BYOVD) 攻撃を仕掛けることで、セキュリティ・ソフトウェアを無効化するという、新しいハッキング・キャンペーンが観測されている。Sliver とは、Bishop Fox が作成したポスト・エクスプロイト・ツールキットであり、Cobalt Strike の代替手段として、昨年の夏から脅威アクターたちが利用し始めているものだ。その機能としては、ネットワーク監視/コマンド実行、反射型 DLL ロード/セッション生成/プロセス操作などが提供されている。


ASEC (AhnLab Security Emergency Response Center) の報告によると、最近に観測された攻撃でが、中国で開発された遠隔操作ソフトウェア Sunlogin に存在する、2022年の脆弱性2件を標的とされている。

これらの脆弱性の悪用に成功した攻撃者は、PowerShell スクリプトを用いたリバース・シェルのオープンや、Sliver/Gh0st RAT/XMRig Monero といったペイロードをインストールを実行していく。

Commands supported by Sliver
Commands supported by Sliver (ASEC)
悪意のドライバを攻撃に持ち込む

一連の攻撃では、容易に入手できる PoC エクスプロイトが用いられ、Sunlogin v11.0.0.33 以前に存在する RCE の脆弱性 CNVD-2022-10270/CNVD-2022-03672 を突くところから始まる。 それらの脆弱性を悪用することで、難読化された PowerShell スクリプトを実行し、セキュリティ製品を無効化してからバックドアを導入する。

この PowerShell スクリプトは、.NET ポータブル実行ファイルをデコードしてメモリにロードする。この実行ファイルは、脆弱な Windows ドライバを悪用して、カーネル・レベル特権で悪意のあるアクションを実行するために作成された、Mhyprot2DrvControl というオープンソース・ツールの修正バージョンである。

昨年からのランサムウェア攻撃において、Mhyprot2DrvControl が使用されていることを、Trend Micro は確認している。そこでは、デジタル署名された Genshin Impact のアンチ・チート・ドライバである mhyprot2.sys ファイルが悪用される。

ASEC のレポートには、「簡単な迂回処理により、このマルウェアは mhyprot2.sys を通じてカーネル領域にアクセスできる。Mhyprot2DrvControl の開発者は、mhyprot2.sys を通じて権限をエスカレートさせ、取得した特権で利用できる複数の機能を提供している。脅威アクターたちは、プロセスの強制終了を可能にする機能を悪用し、複数のアンチ・マルウェア製品をシャットダウンさせるための、新たなマルウェアを開発した」と記されている。

このドライバが読み込まれると、その脆弱性を悪用する脅威アクターは Windows カーネル権限を獲得し、ユーザーモード・プログラムから保護されている、セキュリティ・プロセスの終了が可能となるさ。

Security products targeted by the malware
Security products targeted by the malware (ASEC)

この PowerShell スクリプトの2番目の部分は、外部から Powercat をダウンロードし、それを用いて C2 サーバに接続するリバース・シェルを実行し、侵入したデバイスへのリモート・アクセスすることを可能にする。

ASEC が観測した複数のケースでは、Sunlogin 攻撃の後に、Sliver インプラント (acl.exe) がインストールされていた。脅威アクターは、Sliver フレームワークにより生成されたインプラントを、パッカーを用いずにセッション・モードで使用していた。

Obfuscated Sliver backdoor
Obfuscated Sliver backdoor (ASEC)


その他のケースでは、Gh0st RAT (remote access trojan) がインストールされた後に、リモートファイル管理/キーロギング/リモートコマンド実行/データ流出の機能などが使用されていた。

Microsoft が推奨しているのは、Windows 管理者による脆弱なドライバ・ブロック・リストの有効化であり、それによりBYOVD 攻撃から保護するというものだ。 

同社のサポート記事には、Windows Memory Integrity 機能、または、Windows Defender Application Control (WDAC) を使用して、ブロック・リストを有効化する方式が記載されている。

この攻撃から身を守るもう一つの方法は、AV キラーのハッシュである “f71b0c2f7cd766d9bdc1ef35c5ec1743” をブロックし、イベントログで “mhyprot2” という名前の新規インストール・サービスを監視するというものだ。

Bring Your Own Vulnerable Driver (BYOVD) 攻撃ですが、これまでのポストの中に、2022/10/01 の 「Dell ドライバの脆弱性 CVE-2021-21551:北朝鮮のハッカー集団 Lazarus が悪用」と、2022/10/05 の 「BlackByte ランサムウェア:検出を回避するための Bring Your Own Driver とは?」という記事と見つけました。また、2022/10/03 には Trend Micro も 「オンラインゲーム 原神 の正規ドライバを悪用してウイルス対策を停止させるランサムウェア攻撃を確認」という記事を提供しています。こちらの記事には、「その結果として、カーネルモードからのコマンドにより、エンドポイント保護プロセスが強制終了されていた」と記されています。

%d bloggers like this: