EDRKillShifterは、ランサムウェアグループの使用する攻撃ツールの1つです。
名前から想像が簡単なように、このツールはエンドポイント保護ソフトウェアを終了するように設計された新しいツールです。
- ゲームのようなもの
このツールは、実行形式のファイルになっています。
ファイルの属性情報を見ると、人気のゲームのファイルであると装うように作られたものであることが分かります。
実際に作られたのがどこの国なのかは不明ですが、このツールがコンパイルされたパソコンの言語設定はロシア語だったことまではわかりました。 - 1段階目の実装形式はローダー
EDRKillShifterは、多段動作する仕組みになっています。
一緒に持ち込んだ別のファイルを読み込んで動作するようになっています。 - 解析の抑制機能
解析抑制機能なのでしょうか、起動時にあらかじめ設定された文字列を入力した状態にしないと、処理が継続されないような仕掛けが実装されています。
正しいパスワードを指定した場合にだけ悪事を開始する、という感じです。 - 2段階目は復号化
動作を開始したローダーは2段階目の動作を開始します。
持ち込んだファイルを復号化してメモリに展開します。
ちなみに、この部分のコードは自己修正コード技術を使用して難読化されています。
実行時に、2段階目のコードは自身の命令を変更します。
実際に実行される命令は実行中にのみ明らかになるため、分析には追加のツールまたはエミュレーションが必要です。 - 3段階目はBYOVD
BYOVDはBring Your Own Vulnerable Driverです。
脆弱なドライバーを自分で持ち込んで、その脆弱性を使って攻撃を展開します。
このマルウェアを使用する脅威アクターは複数あるようです。
見つかっているサンプルも複数あるのですが、脅威アクターによって別の脆弱なドライバーを使っているケースがあるようです。
確認されているのは、2種類の脆弱なドライバーです。
これらはいずれもGitHubで脆弱性を悪用する概念実証コードが公開されています。
これらを持ち込んで展開するところまできてしまえば、あとは簡単、ということでしょうか。
このEDRKillShifterのように、ローダーとして動作し、別のファイルをペイロードとして持ち込んで悪事を実行するというスタイルは事例が増えてきているようです。
ローダー部分とペイロード部分の組み合わせを変更しやすいことも想像できますので、脅威アクターにとって都合が良いということでしょうか。
脅威アクターの分業化が進んでいるということを示す一つの兆候なのかもしれません。
Ransomware attackers introduce new EDR killer to their arsenal
https://news.sophos.com/en-us/2024/08/14/edr-kill-shifter/
| この記事をシェア |
|
|---|
