BlackByteランサムウェアの攻撃者、セキュリティ業界全体のエンドポイント検出対応(EDR)製品で使用されている1,000種類以上のドライバを迂回する高度なBYOD手法を使用
- 2022年10月26日 14:30:00
- マネー
- Dream News
<<報道資料>>
ソフォス株式会社
BlackByteランサムウェアの攻撃者、セキュリティ業界全体のエンドポイント検出対応(EDR)製品で使用されている1,000種類以上のドライバを迂回する高度なBYOD (独自ドライバの持ち込み)手法を使用
Cybersecurity-as-a-Serviceを開発・提供するグローバルリーダー企業のソフォス (日本法人:ソフォス株式会社 東京都港区 代表取締役 中西 智行)は本日、非常に危険な新興のランサムウェア組織であるBlackByteが、セキュリティ業界のエンドポイント検出/対応(EDR)製品で使用されている1,000種類以上のドライバを迂回する、高度なBYOD(Bring Your Own Driver:独自ドライバの持ち込み)の手法を使用していることを報告しました。ソフォスは、「RTCore64.sysを悪用してEDRを無効化し、すべてのコールバックを削除するBlackByteランサムウェア」(https://news.sophos.com/ja-jp/blackbyte-ransomware-returns-jp/)と題されたレポートでこの攻撃の戦術、手法、手順(TTP)を詳しく紹介しています。
BlackByteは、重要インフラに対する脅威として今年初めに米国のシークレットサービスやFBIが共同で警告していましたが、今年5月に新たなリークサイトと恐喝手段を携え、短い休止期間から復活しました。さらに同グループは、新たな攻撃手法も導入しています。この新しい攻撃手法では、Windowsシステム用のグラフィックユーティリティドライバであるRTCorec6.sysの脆弱性が悪用されています。この脆弱性を利用することで、標的システムのカーネルと直接通信することが可能になり、EDRプロバイダやMicrosoft Windows脅威インテリジェンスプロバイダのETW(Windowsイベントトレーシング)が使用するコールバックルーチンを無効化するよう命令できます。EDRベンダーは、悪用されやすいAPIコールの使用を監視するため、この機能を多く使用しています。この機能が無効化されると、同機能に依存しているEDRベンダーは多大な影響を受けます。
ソフォスの脅威リサーチ担当シニアマネージャーであるChristopher Buddは、次のように述べています。 「コンピューターを要塞に例えると、多くのEDRプロバイダにとって、ETWは正門の警備員のような役割を果たしています。警備員がいなくなってしまうと、要塞のさまざまな箇所が極めて脆弱になります。さらに、ETWは多くのプロバイダで使用されているため、BlackByteのEDRバイパスに対して脆弱と考えられる標的は多数存在します」
セキュリティ製品を迂回するために「独自ドライバの持ち込み」の手法を利用するランサムウェア組織はBlackByteだけではありません。AvosLockerも、5月に別のドライバの脆弱性を悪用して、アンチウイルスによる保護機能を無効化しています。
「現状を見るに、ランサムウェア攻撃者にとって、EDRを迂回する手法は一般的になりつつあるようです。これは驚くべきことではありません。攻撃者は、素早く最小限の労力で攻撃を行うために、「攻撃的なセキュリティ(Offensive Security)」の概念のもとで開発されたツールや手法を利用するケースが多くあります。実際、BlackByteはEDRバイパス機能を取り入れるために少なくとも一部コードをオープンソースのツールであるEDRSandblastから引用したと考えられます。攻撃的なセキュリティのために開発された技術を攻撃者が採用するようになっているため、防御側の組織は新しい迂回技術や悪用技術を監視し、サイバー犯罪に広く利用される前に対策を講ずることが重要になっています」と先述のBuddは述べています。
BlackByteの最新のTTPと、システムの安全を確保する方法の詳細については、Sophos.comからレポートの全文をダウンロードしてください。
●詳細情報
・Sophos X-Opsのブログ(https://news.sophos.com/ja-jp/)をサブスクライブし、TwitterでSophos X-Ops(https://twitter.com/sophosxopsをフォローして、Sophos X-Opsと画期的な脅威リサーチの詳細(https://news.sophos.com/ja-jp/2022/07/20/behind-the-research-the-making-of-ooda-x-ops-takes-on-burgeoning-sql-server-attacks-jp/)をチェックしてください。
・『ランサムウェアの現状 (2022 年版)』
https://www.sophos.com/ja-jp/whitepaper/state-of-ransomware
・さまざまなランサムウェア攻撃グループ、TTP、ソフォスの最新のランサムウェア調査を参照できるランサムウェア脅威インテリジェンスセンターhttps://news.sophos.com/ja-jp/2022/03/17/the-ransomware-threat-intelligence-center-jp/
・いくつものランサムウェア攻撃の被害を受ける脆弱な組織
https://news.sophos.com/ja-jp/2022/08/09/multiple-attackers-increase-pressure-on-victims-complicate-incident-response-jp/
・ランサムウェア組織「BlackCat」の最新の攻撃手法とツール
https://news.sophos.com/ja-jp/2022/07/14/blackcat-ransomware-attacks-not-merely-a-byproduct-of-bad-luck-jp/
●ソフォスについて
ソフォスは、組織をサイバー攻撃から守るDetection and Response (MDR) サービスやインシデント・レスポンス・サービスのほか、幅広いエンドポイント、ネットワーク、電子メール、およびクラウドのセキュリティ技術群を含む高度なサイバーセキュリティ・ソリューションを提供する革新的な世界的リーダーです。ソフォスは、世界最大級の専業サイバーセキュリティプロバイダーとして、全世界で50万以上の組織と1億人以上のユーザーを攻撃者、ランサムウェア、フィッシング、マルウェアなどのサイバー攻撃から守っています。ソフォスのサービスや製品は、クラウドベースの Sophos Central 管理コンソールに接続されており、クロスドメイン脅威インテリジェンス部門であるSophos X-Opsによって強化されています。Sophos X-Ops のインテリジェンスは、顧客、パートナー、開発者、およびその他のサイバーセキュリティおよび情報技術ベンダーが利用できる豊富なオープンAPIセットを活用した集中型データレイクを含む、Sophos Adaptive Cybersecurityエコシステム全体を最適化します。ソフォスは、フルマネージドでターンキー・セキュリティ・ソリューションを必要とする組織にCybersecurity-as-a-Serviceを提供しています。また、顧客はソフォスのセキュリティ・オペレーション・プラットフォームを使用してサイバーセキュリティを直接管理することもできますし、脅威の検知や修復などのソフォスのサービスによって社内チームを補完するハイブリッド・アプローチを採ることも可能です。ソフォス製品は、世界中のリセラーパートナーやMSP(マネージドサービスプロバイダー)を通じて販売されています。ソフォス本社は、英国オックスフォードにあります。詳細については、www.sophos.com(日本語サイト: https://www.sophos.com/ja-jp )をご覧ください。
●報道関係のお問合せ先
ソフォス株式会社広報事務局
Tel: 03-6454-6930
Email: s ophos@ambilogue.com
以上
配信元企業:ソフォス株式会社
プレスリリース詳細へ
ドリームニューストップへ
47歳ほしのあき「開脚し過ぎた」撮影オフショット公開「グラビア出身あるあるかな?」とつづる
59歳ヒロミ、妻松本伊代に“朝起きた瞬間かける言葉”明かし女性陣騒然「え~!」
鷲見玲奈、産後1カ月と思えぬ美脚スタイル「さらに色気が」愛用のゴルフウエア披露
ナイナイ岡村隆史、夫婦生活の助言 結婚10カ月も別居の銀シャリ橋本へ「1人と、全然ちゃう」
交通系ICで乗車できるチケットレスの「新幹線eチケット」 グリーン車・グランクラスへのアップグレードがキャンペーンでお得
63歳ダンプ松本「おばあちゃんと同い年だって」ショック受けるも「まだまだやりますよ!」
ファミマおにぎりをジョブチューンで酷評したシェフ「小林幸司」のSNSが大炎上
鈴木保奈美、有森也美&千堂あきほとの「東京ラブストーリー」奇跡のスリーショット公開
【阪神】強力救援陣でまたも1点リード逃げ切り 岡田監督も「それだけブルペンに任せられる」
累計出荷数約5万台「のび~るDCサーキュレーター」がアップグレード!さらに簡単操作のACモータータイプも新登場
何があった!?「エアコン」が想定外の壊れ具合!投稿者に話を聞いた
大谷翔平が不運な判定で2度見逃し三振 「えん罪退場」で話題の球審は引き揚げる大谷にブチギレ
ヒカル、浮気相手とのLINE流出にドン引きの声「キモすぎる」「吐きそう」
玉置浩二の妻、青田典子(53)の現在がとんでもない事になっていると話題に
吉野家が「マスク外し強要疑惑」でプチ炎上、店員さんに聞いてみると……
岡本夏生(56)、1600日ぶりにブログを更新した現在が衝撃
時代劇の常識を覆す!仇討ち・無礼討ちの厳格なルール
元めちゃイケメンバーの三中元克(32)現在は何をしているのか調べてみた!
ユーチューバーもこう氏、元彼女・成海瑠奈について赤裸々告白
藤田ニコル「脱ぐ予定なかったのですが気づいたらノリノリで…」ヒョウ柄水着姿に大反響
何があった!?「エアコン」が想定外の壊れ具合!投稿者に話を聞いた
岡本夏生(56)、1600日ぶりにブログを更新した現在が衝撃
玉置浩二の妻、青田典子(53)の現在がとんでもない事になっていると話題に
ユーチューバーもこう氏、元彼女・成海瑠奈について赤裸々告白
ヒカル、浮気相手とのLINE流出にドン引きの声「キモすぎる」「吐きそう」
ガーシー、またも綾野剛の暴露写真でネット歓喜「この写真見て笑っちゃう」
元めちゃイケメンバーの三中元克(32)現在は何をしているのか調べてみた!
大谷翔平が不運な判定で2度見逃し三振 「えん罪退場」で話題の球審は引き揚げる大谷にブチギレ
完全にダマされた! 『ラヴィット!』あのちゃん“事故レベル”大暴走は『水ダウ』遠隔操作のしわざだった ネットも納得
73歳神田正輝「旅サラダ」生放送で“12歳下俳優”から呼び捨てされ激論
47歳ほしのあき「開脚し過ぎた」撮影オフショット公開「グラビア出身あるあるかな?」とつづる
59歳ヒロミ、妻松本伊代に“朝起きた瞬間かける言葉”明かし女性陣騒然「え~!」
鷲見玲奈、産後1カ月と思えぬ美脚スタイル「さらに色気が」愛用のゴルフウエア披露
ナイナイ岡村隆史、夫婦生活の助言 結婚10カ月も別居の銀シャリ橋本へ「1人と、全然ちゃう」
交通系ICで乗車できるチケットレスの「新幹線eチケット」 グリーン車・グランクラスへのアップグレードがキャンペーンでお得
63歳ダンプ松本「おばあちゃんと同い年だって」ショック受けるも「まだまだやりますよ!」
鈴木保奈美、有森也美&千堂あきほとの「東京ラブストーリー」奇跡のスリーショット公開
【阪神】強力救援陣でまたも1点リード逃げ切り 岡田監督も「それだけブルペンに任せられる」
累計出荷数約5万台「のび~るDCサーキュレーター」がアップグレード!さらに簡単操作のACモータータイプも新登場
【ロッテ】初回4失点炎上のC・Cメルセデスに吉井監督「あれじゃだめ。6回以降任せられない」