AuKill マルウェア：悪意のドライバーで EDR を無力化してから攻撃を開始

‘AuKill’ Malware Hunts & Kills EDR Processes

2023/04/21 DarkReading — 標的とする企業の EDR (Endpoint Detection and Response) 防御を無効化するために、脅威アクターがランサムウェアを展開する前に用いる、AuKill というサイバー犯罪ツールが登場した。このツールは、悪意のデバイス・ドライバーを利用して、標的システムへと侵入するものだ。 最近の２つのインシデントでは、ランサムウェア Medusa Locker を展開する前に AuKill を使用している敵対者を、Sophos が観察している。同社は、別のインシデントにおいて、ランサムウェア LockBit のインストール前に、すでに侵害したシステムで、この EDR キラーを使用しする攻撃者を発見している。

Sophos の Senior Manager of Threat Research である Christopher Budd は、「この傾向は、EDR ツールの有効性が高まっていることへの対応として、このようなトレンドが生まれてきた。脅威アクターたちは、攻撃を発見する上で EDR エージェントが、大きな優位性をもたらすことを認識し始めている。脅威アクターたちは、彼らにとって最も問題であるツールをターゲットにしている」と述べている。

この攻撃は、2022年12月に Sophos／Microsoft／Mandiant／SentinelOne が報告した、カスタム・ビルド・ドライバーを用いる脅威アクターが、すでに侵害しているシステムのセキュリティ製品を無効化し、さらなる悪用が可能な状態にしていた一連のインシデントに似ている。

これらの攻撃では、脅威アクターは悪意のドライバーを使用し、Microsoft を騙してデジタル署名をさせ、正規のドライバーであるかのように見せかけた。その他のドライバー攻撃では、脅威アクターは正規のデバイス・ドライバーの脆弱性を悪用し、ランサムウェアの実行／権限の昇格／セキュリティ制御の迂回を行った。一部のセキュリティ・ベンダーや研究者たちは、この手法を Bring Your Own Vulnerable Driver または BYOVD 攻撃と呼んでいる。

Aukill 自体は、BYVOD のカテゴリーに入るツールである。具体的に言うと、Microsoft の Process Explorer 16.32 が使用する、正規かつ旧式の悪用可能なバージョンのドライバーを悪用し、EDR プロセスを無効化するものである。

脆弱なドライバーを自分で持ち込む

AuKill が悪用する脆弱な Process Explorer ドライバーは、他のドライバーと同様に、インストールされたシステム上で特権的なアクセス権を持ち、実行中のプロセスと対話すること、終了することなどが可能である。

このツールは、システム上で実行されている、すべてのプロセス／実行可能パス／パフォーマンス指標などの詳細情報を取得できる無料のツールだ。そして、リアルタイムでのシステム・アクティビティの監視／プロセスや ID の優先順位付け／プロセスの終了などを実行するための複数の機能を提供している。

Budd によると、最近になって Sophos が観測したランサムウェア攻撃では、アクセス権を獲得しているシステムに脅威アクターが、このツールを注入していたという。システムに入ると、AuKill は Process Explorer のバージョン 16.32 の PROCEXP.SYS という名前のドライバーを、Process Explorer ドライバーの正規バージョン (PROCEXP152.sys) と同じ場所にドロップする。

彼は、「正規の Process Explorer ドライバー v.16.32 は、Process Explorer 実行ファイルとの連携に限定せずに機能する。したがって、他のプログラムであっても、その悪意の機能を利用するために、このドライバーに API コールを送信できる。AuKill の場合では、正規のドライバーを悪用して、侵害したコンピュータの EDR などの、セキュリティ制御を停止させる命令を実行する。したがって、Process Explorer ドライバーの既存の機能を利用して、実行中のプログラムの終了が許可される」と述べている。

これまでに Sophos は、６種類の AuKill を分析し、個々のバージョンごとに大きな変化があることに気づいた。たとえば、新しいバージョンでは、より多くの EDR プロセスやサービスを終了の対象とするようになっている。また、EDR のプロセスやサービスを継続的に調査し、プロセスが再起動されていないことを確認する機能も含まれている。また、このマルウェアの作者は、AuKill により複数のスレッドを同時に実行し、自身が終了されることから保護し、より堅牢な AuKill を実現する機能を追加したと、Budd は述べている。

Sophos による AuKill 分析では、2021年6月に公開されたオープンソース・ツールであり、BackStab とコードの類似性があるという。この悪意のツールも、Process Explorer ドライバーを悪用して EDR ツールを停止させるという。同社の研究者たちは、2022年11月の時点で、BackStab を使用してシステム上の EDR を無効化する、LockBit アクターを発見している。

この Bring Your Own Vulnerable Driver (BYOVD) 攻撃ですが、2023/02/06 の「Sliver マルウェアによる BYOVD 攻撃：Windows にバックドアを作る手順とは？」でも解説されているよう、かなりの技術力が必要になるようです。また、Medusa に関しては、2023/02/07 の「Mirai ベースの Medusa ボットネット：ランサムウェア機能を備えて再登場」で解説されています。