BlackBerry の Cylance AI、Terminator EDR Killer を未然に防御
原文のブログはこちらからご覧いただけます。
先般、「Spyboy」を名乗りロシア語を操る脅威アクターが、エンドポイント防御の回避ツールを販売していることが報告されました。このツールは、市場におけるすべての主要な AV(アンチウイルス)、EDR(エンドポイント検知/対処)、および XDR (Extended Detection and Response) 製品を「無効化」できるとされています。
幸いにも、BlackBerry のお客様は Cylance® AI によって Terminator EDR ツールから保護されています。本記事ではこの回避ツールの概要と、組織がこのツールから身を守る方法を解説します。
何が起きたのか ?
5 月 21 日、「Spyboy」を名乗る新たな脅威アクターが、アンチウイルス機能を無効化するツール「Terminator EDR Killer」の詳細を Russian Anonymous Marketplace (RAMP) に投稿しました。Terminator (ターミネーター)といっても、ユーザーの「服とブーツとバイク」を奪うわけではありません。作成者の主張によると、このツールは Sophos、CrowdStrike、Kaspersky、McAfee、BitDefender、Malwarebytes、ESET など各社の製品を含め、23 種類の AV/EDR/XDR 製品およびコントロールを無効化します。その対象製品の中には、 Windows 7® 以降を搭載したデバイスの Windows Defender も含まれていました。
本記事執筆時点で、Spyboy によるツールの設定価格は「オールインワンの回避機能」の 3,000 米ドルから「特定の AV/EDR/XDR 向け」の 300 米ドルまで幅があります。
また脅威アクターは、Sophos 社と CrowdStrike 社のソリューションに対してこのツールが機能しているとするデモ動画も公開しました。その免責事項には、「ランサムウェアやロッカーの使用は禁じられており、そのような行為については責任を負いません」と書かれています。
Terminator EDR Killer の詳細調査
Spyboy の Terminator ツールは BYOVD(Bring Your Own Vulnerable Driver、脆弱なドライバの持ち込み)の攻撃手法に依拠しています。つまり、このツールは正規に署名されたドライバを展開し、Windows システム上にロードしようとします。これが成功すると、攻撃者がセキュリティソリューションを無効化し、マシンを乗っ取ることが可能となります。
リサーチエンジニアの Andrew Harris 氏は Reddit への投稿で、Terminator が特に Zemana AntiMalware カーネルドライバの脆弱なバージョンを展開し、ロードしていることを明らかにしました。このドライバは、「CVE-2021-31728」として採番されたセキュリティ脆弱性を悪用する目的で使用されています。このカーネルドライバの名称は zamguard64.sys または zam64.sys で、「Zemana Ltd.」によって署名されています。Terminator はこのドライバに 4 ~ 10 文字のランダムな名前を割り当て、C:\Windows\System32\drivers\ フォルダーにドロップします。
脆弱なドライバがディスクに書き込まれた後、ユーザーがユーザーアカウント制御(UAC)のポップアップを許可すると、Terminator ツールがドライバをロードし、カーネルレベルの権限を利用して各種セキュリティソフトウェアのプロセス(通常は保護されている)を終了させます。
増加する BYOVD 手法の利用
BYOVD の攻撃手法は、各種のランサムウェア集団から、北朝鮮のハッキンググループ Lazarus といった国家支援型のサイバー諜報活動組織に至るまで、悪意を持った人物や組織にますます採用されています。BlackByte などの有力な脅威アクターは、カーネルコンテキストで悪意あるコードの実行を許可してしまう脆弱性を持つドライバを利用しています。この結果、攻撃者がシステム内で特権的な立場に昇格します。
Harris 氏は Reddit への投稿で、「この手法は、脅威アクターらが近年実施している他の BYOD (Bring Your Own Driver) キャンペーンと類似している」と指摘しています。
緩和策
では、一旦システムにドロップされた Terminator ツールを「駆除」するにはどうすればよいのでしょうか。BlackBerry のサイバー脅威インテリジェンス担当シニアディレクター Dmitry Bestuzhev は、ユーザーの手による操作がなければこのツールが自ら起動することはないとし、次のように述べています。「エンドユーザーはローカル管理者である必要があり、また UAC の確認プロンプトを許可する必要もあります」
システムからのツールの削除に関しては、Bestuzhev は次のように助言しています。「ユーザーが管理者であれば、Windows の『プログラムの追加と削除』機能、または正規のマルウェア対策用アンインストールプログラムを使用して、プログラムを単にアンインストールするだけで十分でしょう」
マルウェア対策ツールを無効化できると謳うツールの関連リスクを軽減するには、企業はどうすればよいのでしょうか。Bestuzhev は、「ユーザーに対しては、システム内でのユーザー権限を制限すべきです。企業の管理者においては、デバイス制御を有効化し、不要な USB といったデバイスの利用を制限する必要があります」と述べています。彼はまた、組織におけるマルウェア対策製品の自己保護機能を有効化することで、ユーザーが誤って、あるいは悪意を持ってツールをダウンロードした場合でも、アンチウイルスソリューションが削除されないようにすることも推奨しています。
「最後に、エンドポイントの可視化は極めて重要です」と Bestuzhev は言います。「システム内で生成されたイベントや EDR/Sigma ルールを活用すれば、悪意のある活動や疑わしい活動を検知し、適切に修復することは常に可能です」
BlackBerry は今後もこの脅威アクターを注意深く監視していきます。間違いなく、彼らはまた戻ってくるでしょう。
業界きっての AI 駆動型防御を提供する BlackBerry の検知技術
BlackBerry のお客様はどうぞご安心ください。弊社の技術は Terminator EDR Killer の実行を未然に防御します。Cylance® AI で駆動する防御モデルは実績のあるソリューションであり、高度なアルゴリズムを使用して、システム上で脅威が完全に実行される前に当該の脅威を検知し、未然に防御します。
AI の活用はサイバーセキュリティに対する極めて効果的かつ効率的なアプローチであり、Terminator EDR Killer をはじめ、絶えず出現する脅威への自衛が欠かせない現代の組織のニーズに適しています。
CylanceOPTICS のルール
BlackBerry の Threat Research チームでは、Terminator ツールが用いる手法を特定・緩和するための CylanceOPTICS® のカスタムルール(現在は CylanceENDPOINT™ の一部)を作成しています。BlackBerry のお客様は、アカウントへのログイン後に次のリンクからご覧いただけます。https://support.blackberry.com/community/s/article/111050
.png)
