innovaTopia

ーTech for Human Evolutionー

News Category

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーとエンタメ
チャットボット
ブロックチェーン
半導体
バイオテクノロジー
ニューロテクノロジー
ロボティクス
ヘルスケア
テクノロジーと社会
サステナブル

もっと見る

エネルギー
ナノテクノロジー
メタバース
ドローン
モビリティ
スマート農業
スマート工場
3Dプリンター
デジタルツイン
IoT
エッジコンピューティング
デジタルアイデンティティ
ビッグデータ
クラウドコンピューティング
テクノロジーと経済
未分類

脆弱なドライバー悪用の新手法「BYOVD」がセキュリティ界に衝撃

脆弱なドライバー悪用の新手法「BYOVD」がセキュリティ界に衝撃 - innovaTopia - (イノベトピア)

Last Updated on 2024-07-02 09:24 by admin

BYOVD(Bring Your Own Vulnerable Driver)攻撃は、脅威アクターにとって魅力的であり、ランサムウェアオペレーターや下位の攻撃者によって広く使用されている。脅威アクターは、脆弱なドライバーを選ぶ際に選択肢が豊富で、loldrivers.ioなどのオープンソースの脆弱なドライバーのリポジトリには364のエントリがある。BYOVD攻撃が下位の脅威アクターに人気がある理由の1つは、既製のキットやツールが犯罪フォーラムで販売されていることである。

Terminatorツールは、2023年5月に初リリースされたEDRキラーであり、脆弱なZemanaドライバーと共に脅威アクターの関心を引いている。Terminatorツールは、BYOVDツールであり、Zemana Anti-LoggerまたはZemana Anti-Malwareの脆弱なドライバーを利用している。Terminatorツールには、オープンソースのバージョンや別の言語で書かれたバリエーションなど、複数のバリエーションが存在する。

Zemana Anti-LoggerやAnti-Malwareのドライバーを乱用した攻撃が実際に発生している。これらの攻撃は、脆弱なCitrixアプリケーションの脆弱性を悪用して初期アクセスを獲得し、Sophosのサービスを無効化しようとするものである。また、医療機関を標的とした攻撃やZemanaドライバーの代わりにAuKillを使用した攻撃も報告されている。

脆弱なドライバーの乱用を検出することは、セキュリティ業界にとって独自の課題である。脆弱なドライバーをブロックする際には注意が必要であり、慎重な検証を行わずに一括でブロックすることは組織に予期しない問題を引き起こす可能性がある。脆弱なドライバーのリストを最新の状態に保ち、インストールされていないドライバーをブロックすることが有益である。また、挙動ベースの保護ルールやAdaptive Attack Protectionなどのセキュリティ対策も重要である。

BYOVD攻撃は脅威アクターにとって魅力的であり、AVやEDRソリューションをカーネルレベルで無効化する手段を提供する。脆弱なドライバーの数が非常に多いため、攻撃者は多くの選択肢を持っている。セキュリティコミュニティは、脆弱なドライバーやカスタムビルドドライバーの脅威を追跡し、新しい方法を開発して悪用されるドライバーをブロックするための研究を続けている。

【ニュース解説】

BYOVD(Bring Your Own Vulnerable Driver)攻撃とは、脅威アクターが既知の脆弱性を持つドライバーを標的システムに持ち込み、そのバグを悪用してカーネルレベルの権限を得る手法です。このレベルのアクセスを得ることで、攻撃者はマルウェアを隠したり、認証情報を抜き取ったり、特に重要なのはエンドポイント検出対応(EDR)ソリューションを無効化しようと試みることができます。

2023年5月に初めてリリースされた「Terminator」というツールは、この種の攻撃に利用されており、特にZemana Anti-LoggerやZemana Anti-Malwareの脆弱なドライバーを悪用しています。これらのドライバーは、正当なプロセスのみが特定の機能を要求できるようにする「許可リスト」を維持していますが、攻撃者はこのセキュリティ対策を回避し、任意のプロセスを許可リストに追加することができます。

この攻撃手法は、ランサムウェアオペレーターや下位の攻撃者によって広く使用されており、犯罪フォーラムで販売されている既製のキットやツールに組み込まれています。Terminatorツールは、複数のセキュリティ製品を無効化できると主張され、そのバリエーションやポートされたバージョンも存在します。

この攻撃手法の検出はセキュリティ業界にとって独自の課題を提起します。脆弱なドライバーは正当なものであり、オペレーティングシステムや重要なサービス、アプリケーションにとって不可欠な場合があるため、慎重な検証なしに一律にブロックすることは問題を引き起こす可能性があります。しかし、脆弱なドライバーのリストを最新の状態に保ち、インストールされていないものをブロックすることは有益です。

BYOVD攻撃は、AVやEDRソリューションをカーネルレベルで無効化する手段を脅威アクターに提供します。脆弱なドライバーの数が非常に多いため、攻撃者には多くの選択肢があります。セキュリティコミュニティは、脆弱なドライバーやカスタムビルドされたドライバーの脅威を追跡し、悪用されるドライバーをブロックするための新しい方法を開発するために研究を続けています。このような攻撃に対する防御策としては、エンドポイントセキュリティ製品が改ざん保護を実装しているか確認し、Windowsのセキュリティロールの適切な管理、OSやアプリケーションの更新、不要な古いソフトウェアの削除、脆弱なドライバーを脆弱性管理プログラムに追加することなどが推奨されます。

from It’ll be back: Attackers still abusing Terminator tool and variants.

author avatar
admin
See Full Bio
ホーム » サイバーセキュリティ » サイバーセキュリティニュース » 脆弱なドライバー悪用の新手法「BYOVD」がセキュリティ界に衝撃

“脆弱なドライバー悪用の新手法「BYOVD」がセキュリティ界に衝撃” への1件のコメント

  1. 小林 さくらのアバター
    小林 さくら

    この記事を読んで、インターネットの安全性について改めて考えさせられました。私たちが普段何気なく使っているデバイスやソフトウェアが、実はこんなにも複雑な脅威にさらされているとは思いもしませんでした。BYOVD攻撃や「Terminator」といったツールが存在すること自体、知らなかったので、このような情報を知ることができて良かったです。しかし、正直言ってこの情報をどう活用すればいいのか、私のような一般の高校生にはちょっとわかりづらいですね。

    インスタやTikTokを日常的に使っている私たちにとって、セキュリティ対策は本当に大切だとは思いますが、専門的な知識がないと対処方法がよくわかりません。たとえば、記事にあった「エンドポイントセキュリティ製品が改ざん保護を実装しているか確認する」などの対策は、具体的にどうすればいいのか、私たちにも分かりやすく説明してほしいです。

    また、この記事を読んで、日々アップデートされるソフトウェアには、こうしたセキュリティのための改善が含まれているのだと改めて認識しました。だから、面倒くさがらずに定期的なアップデートは欠かさないようにしたいと思います。

    最後に、インターネットには便利な情報が溢れて

Latest News