Cybersecurity-as-a-Serviceを開発・提供するグローバルリーダー企業のソフォス (日本法人:ソフォス株式会社 東京都港区 代表取締役 中西 智行)は本日、非常に危険な新興のランサムウェア組織であるBlackByteが、セキュリティ業界のエンドポイント検出/対応(EDR)製品で使用されている1,000種類以上のドライバを迂回する、高度なBYOD(Bring Your Own Driver:独自ドライバの持ち込み)の手法を使用していることを報告しました。ソフォスは、「RTCore64.sysを悪用してEDRを無効化し、すべてのコールバックを削除するBlackByteランサムウェア」と題されたレポートでこの攻撃の戦術、手法、手順(TTP)を詳しく紹介しています。
BlackByteは、重要インフラに対する脅威として今年初めに米国のシークレットサービスやFBIが共同で警告していましたが、今年5月に新たなリークサイトと恐喝手段を携え、短い休止期間から復活しました。さらに同グループは、新たな攻撃手法も導入しています。この新しい攻撃手法では、Windowsシステム用のグラフィックユーティリティドライバであるRTCorec6.sysの脆弱性が悪用されています。この脆弱性を利用することで、標的システムのカーネルと直接通信することが可能になり、EDRプロバイダやMicrosoft Windows脅威インテリジェンスプロバイダのETW(Windowsイベントトレーシング)が使用するコールバックルーチンを無効化するよう命令できます。EDRベンダーは、悪用されやすいAPIコールの使用を監視するため、この機能を多く使用しています。この機能が無効化されると、同機能に依存しているEDRベンダーは多大な影響を受けます。
ソフォスの脅威リサーチ担当シニアマネージャーであるChristopher Buddは、次のように述べています。 「コンピューターを要塞に例えると、多くのEDRプロバイダにとって、ETWは正門の警備員のような役割を果たしています。警備員がいなくなってしまうと、要塞のさまざまな箇所が極めて脆弱になります。さらに、ETWは多くのプロバイダで使用されているため、BlackByteのEDRバイパスに対して脆弱と考えられる標的は多数存在します」
セキュリティ製品を迂回するために「独自ドライバの持ち込み」の手法を利用するランサムウェア組織はBlackByteだけではありません。AvosLockerも、5月に別のドライバの脆弱性を悪用して、アンチウイルスによる保護機能を無効化しています。
「現状を見るに、ランサムウェア攻撃者にとって、EDRを迂回する手法は一般的になりつつあるようです。これは驚くべきことではありません。攻撃者は、素早く最小限の労力で攻撃を行うために、「攻撃的なセキュリティ(Offensive Security)」の概念のもとで開発されたツールや手法を利用するケースが多くあります。実際、BlackByteはEDRバイパス機能を取り入れるために少なくとも一部コードをオープンソースのツールであるEDRSandblastから引用したと考えられます。攻撃的なセキュリティのために開発された技術を攻撃者が採用するようになっているため、防御側の組織は新しい迂回技術や悪用技術を監視し、サイバー犯罪に広く利用される前に対策を講ずることが重要になっています」と先述のBuddは述べています。
BlackByteの最新のTTPと、システムの安全を確保する方法の詳細については、Sophos.comからレポートの全文をダウンロードしてください。