Cortex XDR を回避する脅威アクター：痛恨のミスにより暴露されたツールキットと戦略

EDRsandblast Exploited: How Attackers are Weaponizing Open-Source Code

2024/11/03 SecurityOnline — Unit 42 の研究者たちが発見したのは、最近に発生した EDR (endpoint detection and response) 回避において、脅威アクターたちが使用していた、新たなツール・キットの存在である。この調査では、EDR 防御を回避するために攻撃者が用いた、戦術が明らかになっただけではなく、攻撃を背後で操る１人の脅威アクターの、身元に関する重大な発見にもつながった。

この攻撃は、より広範な恐喝計画の一部であるが、”disabler.exe” と呼ばれる EDR 回避ツールを中心に展開されていた。Unit 42 の説明は、「調査の過程において、攻撃に関与する、クライアント環境の２つのエンドポイントが発見されたが、それまでは認識されていなかったものだ。これらの不正システムの当初の目的は、BYOVD (Bring Your Own Vulnerable Driver) 攻撃のテストだった。この BYOVD 攻撃は、クライアント・ネットワークにインストールされた、Cortex XDR エージェントを回避するものである」というものだ。

この攻撃の背後にいる脅威アクターは、BYOVD として知られる高度な EDR 回避テクニックを使用した。この手法は、侵害したドライバを用いて、主要なセキュリティ機能を無効化し、防御の回避を達成するものだ。このレポートが強調するのは、「特定された悪意のツール disabler.exe は、公開されている EDRSandBlast のソースコードを、わずかに変更して使用しているようだ」という点だ。

この発見で興味深いのは、脅威アクターが研究者に対して、このツールキットの動作を偶然に見せてしまったことだ。攻撃者が管理する仮想システムが、顧客のネットワークに接続したことで、不正なエンドポイントへのアクセスが、意図せずに Unit 42 に許可されてしまった。この接続により、攻撃者のツールキットに対する可視性が提供され、各種のツールやファイルに加えて、攻撃者の個人的／職業的な経歴などが得られたという。

不正なシステム上で発見されたファイルの中には、EDR バイパス・ツールの複数のコピーと、その有効性を示すデモ動画もあった。この動画では、disabler.exe が各種の EDR エージェントをバイパスし、クレデンシャル・ダンプ・ソフトウェアである Mimikatz などのツールが、支障なく実行される様子が示されていた。

Unit 42 は、「それぞれの動画が示すのは、特定の AV／EDR エージェントをインストールした上で、バイパス・ツールを実行させ、それに続く Mimikatz 実行を成功させるシナリオである。つまり、この脅威アクターが、大きな自信を持っていることの現れである」と指摘している。

さらに、研究者たちは、脅威アクターの身元の手がかりとなる、一連のアーティファクトを発見した。それらに含まれるものとしては、”freelance” というタイトルのフォルダや、XSS や Exploit などのサイバー犯罪フォーラムへと導くエリアスがある。これらのエリアスを、既知のサイバー犯罪プロファイルと照合した結果として、AV／EDR バイパス・ツールについて以前に投稿していた、Marti71 というユーザーが特定され、このスキームへの関与が疑われている。

Unit 42 が収集した証拠が裏付けるのは、恐喝やランサムウェアのスキームで使用されるツールの高度化である。また、この調査結果が浮き彫りにするのは、アンダーグラウンド・フォーラムやサブスクリプション・ベースのサイバー犯罪モデルが、EDR 回避技術の急速な進化と拡散に寄与している点だ。Unit 42 の研究者は、「これらのツールは、各種のセキュリティ・プラットフォームの悪用へ向けて、進化を続ける可能性が高い。したがって、ユーザー企業は、それに対応する防御策を講じる必要がある」と強調している。

Palo Alto が調査していた BYOVD 攻撃は、同社の Cortex XDR を回避するものであり、その過程で新たなツール・キットの存在が判明したとのことです。その背景には、脅威アクターの失敗があり、自身の個人的／職業的な経歴なども取得されたようです。このツール・キットが高性能なこと、そして、脅威アクターにとってもセキュリティは重要という教訓が得られたことが、この記事の主張という感じです。よろしければ、Palo Alto で検索も、ご参照ください。