概要:
「spyboy」というハンドル名で活動する脅威アクターは、24 のセキュリティ製品を無効にするために使用できる「AV/EDR ターミネーター」を開発したと主張しており、マカフィーはサポートされている製品としてリストされています。攻撃者は、ツールが Trellix ENS または EDR をサポートしているかどうかは明らかにせず、単に「McAfee」とだけ述べています。
Spyboy の申し立てと軽減策の概要:
-
Zemana マルウェア対策は、正規の場所 (C:\Windows\System32\drivers\) に書き込まれた正規の署名付きドライバーを備えた正規のツールです。
-
このインストールには、マシンの管理者権限が必要です (マシンの管理者権限を持っている人は、何でもインストールできます)。
-
ディスクに書き込まれると、他のマルウェア対策ツール/製品を無効にしようとします。
-
Trellix は、オンアクセス スキャンを使用して悪意のあるドライバーを検出し、削除できます。
-
Trellix Endpoint 製品は、エンドポイント上のサービス、ファイル、レジストリ、および実行可能ファイルを保護する自己保護機能を実装しています。
-
オペレーティング システムを活用し、アクセス制御リスト (ACL) を利用して、変更が正しい権限で実行されるようにします。
-
製品の実装には、一連の自己保護ルールが含まれています。
-
このルールはカーネル イベントのインターセプトとプロセス フックを制御し、正当な変更から生じたものではないとみなされるアクティビティの検査とブロックを可能にします。
背景:
エンドポイントの所有者が故意に管理者権限を使用して Zemana (正規の製品) をインストールした場合、Trellix が正規のインストールをブロックすることは不適切です。OS-Ring0 にインストールされている場合は、Trellix 製品自体と同じレベルで動作します。
このドキュメントの執筆時点では、このツールは特定されておらず、公開されていません。Terminatorツールは、Windowsカーネル(別名「リング0」)内から任意のコードを実行するために、Zemanaアンチマルウェアツールに属する、正当だが脆弱なWindowsドライバを活用する。このレベルのアクセスが達成されると、セキュリティ製品は保護を提供できなくなります。ただし、アクティブな Trellix マルウェア対策は、アクセス時に悪意のあるドライバーをスキャンし、悪意のあるドライバーを無効にします。
脆弱なドライバーを悪用して特権コードを実行することは、Bring Your Own Vulnerable Driver (BYOVD) 攻撃と呼ばれます。BYOVD 攻撃は新しいものではありません。脆弱な Zemana マルウェア対策ドライバーも使用できません。Terminator が Zemana マルウェア対策ドライバーに依存している場合、 CVE-2021-31728を悪用している可能性が高いと推測されています。
最後に、私たちの脅威インテリジェンス能力を通じて、脅威行為者(Spyboy)が、 CrowdStrike によって識別されたZemanaドライバが Terminator ツールによって使用されていることを示唆するコメントを行ったことがわかりました。ただし、このツールはまだリリースされておらず、他のドライバーを使用して Windows カーネルでコードを実行することもできることを再度強調します。エクスプロイト後に実行される実際のコード、つまりセキュリティ製品を無効にするために使用される手法も不明です。
Trellix 製品の応答:
Terminator は、Zemana マルウェア対策ドライバーを使用して BYOVD 技術を実装します。ディスクに書き込まれている、またはプロセスによってロードされている脆弱な Zemana ドライバーの検出に重点が置かれています。Zemana は正規のツールであるため、これらのドライバーの作成や読み込みをブロックすることはできません。
次の表は、Trellix 製品に対して採用されている検出アプローチをまとめたものです。
|
製品
|
補償範囲の説明
|
|
NX/EX/AX
|
シグネチャは、サンプルの動的実行中に "zamguard64.sys" ドライバーのドロップとロードに関連するアーティファクトを検出するために開発されました。署名は検証のためにサイレント モードでリリースされ、すぐに昇格されます。
|
|
HX IOC
|
MD5 値に基づいて、ディスクに書き込まれる脆弱なドライバーを検索するシグネチャが開発されました。署名は検証のためにサイレント モードでリリースされ、すぐに昇格されます。この署名は、顧客自身の狩猟演習のために提供することもできます。
|
|
ENS
|
ENS は、脆弱なドライバーが正当なドライバーであるとみなされるため、その作成を妨げません。ただし、予期しないファイル名を持つ正規のドライバーを検出するための検出機能が追加されました。
これとは別に、ドライバーの脆弱性 (hxxps://github.com/ZeroMemoryEx/Terminator) を悪用する方法を示す公開リリースされた POC の検出が追加されます。
|
|
EDR
|
Windows\System32\driversに書き込まれる新しいドライバーを検出するために、低重大度ルールが存在します。
お客様は、EDR 履歴検索を利用して、脆弱なドライバー ハッシュのリストのハッシュ検索を実行することもできます。これについての詳細は以下で説明します。
脆弱な Zemana ドライバーを利用したサービスの作成を検出するために、追加の高重大度検出が評価されています。
|
|
HXAV
|
ENS と同様に、HX AV には正規の Zemana ドライバーの検出がありません。保護は、次のようないくつかの関連 POC に対して提供されます。
|
Trellix EDR でのハンティング:
環境内で脆弱な Zemana ドライバーの証拠を探すには、次のクエリを使用します:
Sha256 in "543991ca8d1c65113dff039b85ae3f9a87f503daec30f46929fd454bc57e5a91,ff113339f97e4511a3e49fd2cc4bc1a80f69a9e57e090644271fafb803f25408,877432336a2f178e956f436229f4c147b2909e9f3f5b5be2a2c6d,132c67d15e,4937926fa892611da4d190b0e5174db83b6b1fa4ff4fe2ca8bd930db1c020fe6,c5f916a450e7e3eb6f16ed7ba6d024848544c608a76bfe3beb582cbaaeb74b4e,4710886983bd59b9b0668eda38371f46064affad4,a954301f8f2662bdfc744b,2bbc6b9dd5e6d0327250b32305be20c89b19b56d33a096522ee33f22d8c82ff1,66afdda05693c8a5bced85a7233a931f05f5908430d41d0d84bf051f474fa9c8"
参照:
