GHOSTENGINEは、脆弱なドライバを利用してEDR(エンドポイント検知および対応)を無効化する手法を採用している。この技術は、XMRigマイナーのインストールと持続性を確保するために複雑な手法を使用し、Tiworker.exeという実行可能ファイルを通じてPowerShellスクリプトを実行し、追加のペイロードを取得する。
BYOVD(Bring Your Own Vulnerable Driver)攻撃は、既知の脆弱な署名済みドライバを利用して特権アクションを実行し、セキュリティプロセスを無効化する手法である。この攻撃はステルス操作を可能にするが、Windows 11 22H2以降ではVulnerable Driver Blocklistがデフォルトで展開されており、定期的な手動更新が求められる。
さらに、EDRaserという技術はMicrosoft Defenderの脆弱性を悪用してアクセスログやイベントログを削除する。Palo Alto Networks Cortex XDRのセキュリティ保護を回避するバイパス手法や、HookChainというセキュリティソフトウェアの監視と制御メカニズムを回避する手法も発見されている。
【ニュース解説】
最近のサイバーセキュリティの研究により、GHOSTENGINEと名付けられた新たなクリプトジャッキングキャンペーンが発見されました。このキャンペーンでは、脆弱なドライバを利用して既知のセキュリティソリューション、特にエンドポイント検知および対応(EDR)システムを無効化し、検出を回避する手法が採用されています。この攻撃は、BYOVD(Bring Your Own Vulnerable Driver)攻撃と呼ばれ、攻撃者が既知の脆弱性を持つ署名済みドライバを持ち込み、それを利用して特権アクションを実行し、セキュリティプロセスを無効化することを特徴としています。
このキャンペーンの目的は、XMRigというウェルノウンなコインマイナーをインストールし、その持続性を確保することにあります。攻撃は、Tiworker.exeという実行可能ファイルを介してPowerShellスクリプトを実行し、さらに追加のペイロードを取得するという複雑な手順を経て行われます。これにより、セキュリティソリューションを回避し、マルウェアの持続性を確保することが可能になります。
BYOVD攻撃の背景には、ドライバがオペレーティングシステムの最も特権的なレベルであるリング0で実行されるため、重要なメモリ、CPU、I/O操作などへの直接アクセスが可能であるという事実があります。これにより、攻撃者はセキュリティプロセスを無効化し、ステルス操作を可能にすることができます。
さらに、このキャンペーンでは、Microsoft Defender Antivirusを無効化し、Windowsイベントログをクリアするなど、検出を回避するための複数の手法が採用されています。また、EDRaserやPalo Alto Networks Cortex XDRのセキュリティ保護を回避するバイパス手法、HookChainによるセキュリティソフトウェアの監視と制御メカニズムの回避など、新たな技術も発見されています。
このような攻撃は、セキュリティソリューションの検出ロジックを攻撃者が理解し、それを回避する方法を見つける可能性を高めます。そのため、セキュリティ製品の検出プロセスのロジックは厳重に保護されるべきです。また、Windows 11 22H2以降ではVulnerable Driver Blocklistがデフォルトで展開されていますが、このリストは年に一度か二度しか更新されないため、ユーザーは定期的に手動で更新する必要があります。
このキャンペーンの発見は、セキュリティコミュニティにとって重要な意味を持ちます。それは、既存のセキュリティソリューションを回避するための新たな手法が常に開発されていることを示しており、セキュリティ対策の継続的な更新と改善が必要であることを強調しています。また、企業や個人は、セキュリティソフトウェアだけに依存するのではなく、定期的なシステムの更新やパッチの適用、セキュリティ意識の向上など、多層的なセキュリティ対策を講じることが重要です。
from GHOSTENGINE Exploits Vulnerable Drivers to Disable EDRs in Cryptojacking Attack.
