Avast Anti-Rootkit driverは、アンチウイルスソフトの構成ファイルの一つです。
名前が示すようにルートキットの防御のために用意されたファイルとなっていて、想定された利用においては、これによってルートキットの展開や利用を抑制することのできるものとなっています。
これを悪用する活動が観測されています。
以前から多く見られるBYOVD(Bring Your Own Vulnerable Driver)です。
どんな流れで侵攻してくるのでしょうか。
- マルウェアが正規のカーネルドライバーを持ち込む
侵害環境で動作を開始したマルウェアは、まずは脆弱ではないけれども正規のカーネルドライバーファイルを持ち込みます。
そのカーネルドライバーの正規の配置場所とは別のPATHに展開することで独自の利用ができる状態を作ります。 - 正規のカーネルドライバーでファイルを作る
次に持ち込んだ脆弱でないカーネルドライバーを使って現地でファイルを作ります。
作るファイルはaswArPot.sysです。
これは正規だけれども脆弱なバージョンのAvast Anti-Rootkitドライバーです。 - Anti-Rootkitドライバーを転用する
Anti-Rootkitドライバーはルートキットを防御するために作成されたものですが、その機能は指定するプロセスを停止させる機能を持ちます。
指定する機能を変更すれば他の用途にも使用できるのです。
脅威アクターはこれを侵害環境のセキュリティ対策ソフトの停止に使用します。
今回の脅威活動では、142個のハードコードされたセキュリティプロセス名のリストがマルウェアに含まれています。
多くのセキュリティ対策ソフトウェアが無効化されます。
これまでもBYOVDは多く観測されてきています。
しかし、今回の例からも想像できるように、その手口は確実に進化してきてしまっています。
BYOVDに直接対策できる機構もあるにはあります。
例えば、その実装の一つに、マイクロソフトの脆弱なドライバーブロックリストがあります。
しかし、まだまだ内容の充実や更新頻度の関係で十分な対策とすることができていないのかもしれません。
今回の例では、マルウェアを自身の環境で動作開始させてしまった時点で、侵害は成功してしまったと考えるべきでしょう。
防御側でできることは、やはり、そもそもとして不明なファイルを手元で実行しないことということになりそうです。
開発者だけでなく、利用者においてもシフトレフトの意識が重要ということなのかもしれません。
When Guardians Become Predators: How Malware Corrupts the Protectors
https://www.trellix.com/blogs/research/when-guardians-become-predators-how-malware-corrupts-the-protectors/
| この記事をシェア |
|
|---|
