Hackers Exploit SonicWall SSLVPN Credentials to Deploy EDR Killer and Bypass Security
2026/02/05 CyberSecurityNews — SonicWall SSLVPN の侵害された認証情報を積極的に悪用する脅威アクターたちが、ネットワークへ侵入した上で、エンドポイント・セキュリティ・ソリューションを無力化するための、高度な EDR killer を展開している。2026年2月初旬に Huntress が分析したキャンペーンは、有効な VPN アカウントを用いて初期アクセスを獲得した攻撃者が、失効済みの Guidance Software (EnCase) フォレンジック・ドライバを悪用して Bring Your Own Vulnerable Driver (BYOVD) 攻撃を実行するものだ。
この手法により攻撃者は、重要なセキュリティ・プロセスをカーネル・レベルで強制終了し、標準的な防御機構を効果的に回避していく。
この侵入は、有効な認証情報を侵害した脅威アクターが、SonicWall SSLVPN の認証をバイパスするところから始まっている。つまり、脅威アクターにとって、ブルートフォース攻撃を行う必要はなかった。
Huntress が特定したのは、悪意の IP アドレス “69.10.60[.]250” からのログインの成功である。そのわずか 1 分前には、別の IP アドレス “193.160.216[.]221” からのポータル・ログイン試行が、アカウントの権限不足で失敗していたことが、ログに記録されていた。
ネットワーク内部へ侵入した攻撃者は、直ちに攻撃的な偵察を開始した。SonicWall IPS のアラートでは、ICMP ping スイープや NetBIOS プローブを含む、大量のアクティビティが記録されている。さらに攻撃者は、SYN flood 挙動を引き起こし、1 秒あたり 370件を超える SYN トラフィックを生成しながら内部環境のマッピングを行った。
EDR killer ペイロード
この攻撃の中核は、悪意のカーネル・ドライバを展開するために設計された、Windows の 64-bit 実行ファイルである。マルウェアの作者は、静的解析を回避するための独自のエンコーディング方式を実装し、単語リスト置換暗号を用いてドライバ・ペイロードを隠蔽していた。
標準的な暗号化の代わりに、バイナリは 256 語から成る辞書を使用し、英単語が特定のバイト値を表す仕組みを持つ。例えば “about” は “0x00″、”block” は “0x4D” にデコードされる。
このマルウェアが実行されると、上記のテキストが有効な Windows PE ファイルへとデコードされ、”C:\ProgramData\OEM\Firmware\OemHwUpd.sys” に書き込まれる。
その後にマルウェアは、”timestomping” などの反フォレンジック技法を適用し、正規の “ntdll.dll” からタイムスタンプをコピーして、悪意のドライバをシステム・ファイルに紛れ込ませる。それらのペイロードは、”OEM Hardware HAL Service” という名称でカーネル・サービスとして登録され、再起動後も永続化される。
この攻撃は、Windows Driver Signature Enforcement (DSE) における既知の隙を突いている。展開されるドライバは、Guidance Software の EnCase フォレンジック・スイートに含まれる正規コンポーネント (EnPortv.sys) である。証明書は 2010年に失効しているが、その後の失効処理された証明書で署名されている。
失効しているにもかかわらず、Windows は起動時に Certificate Revocation List (CRL) を参照するのではなく、署名の暗号学的な完全性を検証するために、このドライバーをロードしてしまう。
このドライバーは、証明書の有効期限内に信頼された認証局によりタイムスタンプが付与されているため、2015年7月29日以前に署名されたドライバに対する、Microsoft のレガシー例外条件を満たしている。それにより攻撃者は、ドライバーを正常にロードし、IOCTL インターフェイス (0x223078) を user-mode プロセスに公開できる。
カーネルにロードされたドライバーにより、Protected Process Light (PPL) などの保護機構で守られたプロセスを強制終了する能力が、攻撃者に対して与えられる。このマルウェアは、Microsoft Defender/CrowdStrike/SentinelOne/Carbon Black などの、主要セキュリティ・ベンダに関連する 59個のプロセスを、ハードコードされたリストで標的としている。
kill ループは 1 秒のスリープ間隔で継続的に実行され、再起動したセキュリティ・サービスがあれば、即座に再び終了させるように設計されている。
| Type | Value | Description |
|---|---|---|
| File Path | C:\ProgramData\OEM\Firmware\OemHwUpd.sys | Location where the malicious driver is dropped |
| Service Name | OemHwUpd | Kernel service created for persistence |
| Service Display Name | OEM Hardware HAL Service | Disguised service name to blend with legitimate tools |
| IPv4 Address | 69.10.60[.]250 | Source IP for successful VPN authentication |
| IPv4 Address | 193.160.216[.]221 | Source IP for failed portal login attempt |
| SHA-256 | 3111f4d7d4fac55103453c4c8adb742def007b96b7c8ed265347df97137fbee0 | Vulnerable EnCase forensic driver (OemHwUpd.sys) |
| SHA-256 | 6a6aaeed4a6bbe82a08d197f5d40c2592a461175f181e0440e0ff45d5fb60939 | EDR killer binary masquerading as svchost.exe |
この問題の中心にあるのは、正規で脆弱である古いドライバーを悪用することで、Windows のカーネル層に入り込み、セキュリティソフトを強制終了させる BYOVD (Bring Your Own Vulnerable Driver) 攻撃です。この攻撃の巧妙な点は、攻撃者がゼロからウイルスを作るのではなく、かつて信頼されていた企業の古いドライバー (EnCase フォレンジック用など) を持ち込むところにあります。
Windows には、古いソフトとの互換性を保つために、2015 年以前に署名されたドライバーなら、たとえ証明書が切れていても読み込むという例外ルールがあります。この隙を突く攻撃者は、本来なら手出しできないはずの CrowdStrike や Defender などのウイルス対策ソフトのプロセスを、OS の深層から直接 kill しています。さらに、通信内容を英単語の羅列に置き換える独自の暗号化や、ファイル作成日時を偽装する工作を施すことで、検知を極限まで逃れる仕組みになっています。
現時点では、攻撃の手法が明らかになっただけで、その被害などは判明していないようです。ご利用のチームは、ご注意ください。よろしければ、BYOVD での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.