サイバー攻撃の常套手段 BYOVD(Bring Your Own Vulnerable Driver)攻撃とは?事例から有効な対策を考える
BYOVD(Bring Your Own Vulnerable Driver)とは、サイバー攻撃者が脆弱性のあるドライバを標的環境内に自ら持ち込み、これを不正利用することで、セキュリティ製品の停止や権限昇格など様々な目的を達成するサイバー攻撃の手口の1つです。近年攻撃者に多用されるこの手口について、事例や対策を解説します。
BYOVD(Bring Your Own Vulnerable Driver)攻撃とは?
BYOVD(Bring Your Own Vulnerable Driver)とは、サイバー攻撃者が脆弱性のあるドライバを標的組織の環境内に自ら持ち込み、これを不正利用することで、セキュリティ製品の停止やシステム権限昇格など様々な目的を達成するサイバー攻撃の手口の1つです。
サイバー攻撃の分野では、システムの持つ脆弱性は大きな課題の一つです。例えば2021年末に発覚したApache Log4jの脆弱性は遠隔環境から被害端末内で任意のコード実行が行える脆弱性でしたが、数億台のデバイスが影響を受ける可能性があるとして、世界中の多くのサイバーセキュリティ関連機関が警告を行いました。
これらシステムの脆弱性を完全になくすことは難しく、いまでは毎月第二週目の火曜日、パッチチューズデイには多くの修正プログラム(パッチ)が多数のソフトウェアベンダから公表されています。
BYOVD攻撃は、防御側がパッチメンテナンスや脆弱性を内包するシステムの排除など十分な脆弱性対策を行っていても、脆弱性のあるドライバを勝手に環境内にダウンロードされてしまうという点で、防ぐことの難しい高度な攻撃の1つとなっています。
本稿では、そんなBYOVD攻撃をその攻撃チェーンに含むランサムウェアやAPTグループについて取り上げ、どのような対策が有効かについて解説します。
BYOVD(Bring Your Own Vulnerable Driver)攻撃が使用された事例
トレンドマイクロの過去のリサーチで、攻撃手口の中でBYOVD攻撃が使用されたサイバー攻撃グループやランサムウェアについていくつか例示します。
Earth Longzhiは2020年頃から活発な活動が確認されている、主に台湾などを含む東南アジア諸国を対象に攻撃を行うAPTグループですが、2023年の彼らの攻撃キャンペーンの中でBYOVD攻撃の手法を確認しています。
彼らは攻撃チェーンの中で、「SPHijacker」というツールを使用して、セキュリティ製品の停止を行います。セキュリティ製品の停止の際には、脆弱性「CVE-2018-5713」が含まれているセキュリティベンダZemanaのドライバ「zamguard64.sys」を悪用してセキュリティ製品のプロセスを停止します。
セキュリティ製品を停止させることで被害組織が潜伏に気づくことなく、長期的な情報窃取や破壊活動に繋がる可能性があります。
参考記事:
・攻撃集団「APT41」の新しい子グループ「Earth Longzhi」の攻撃手口
・セキュリティ対策を妨害:攻撃グループ「Earth Longzhi」が新しい手口を用いて活動を再開
●ランサムウェア「Kasseika」
2023年にランサムウェア「Kasseika」の攻撃チェーンの中でBYOVD攻撃の手法が確認されました。「Kasseika」はセキュリティベンダであるTG Softが開発したVirIT Agent Systemに組み込まれていた「Martini.sys」というドライバの脆弱性を悪用し、セキュリティ製品、解析ツール、システムユーティリティツールなどのプロセスを強制的に停止します。
ランサムウェア攻撃の中でセキュリティ製品が停止させられると、ランサムウェア自体の実行をブロックできなくなる上、攻撃者による横展開などの挙動も検知することができなくなるため被害範囲が拡大してしまいます。
参考記事:ランサムウェア「Kasseika」によるBYOVD攻撃:リモート管理ツール「PsExec」やドライバ「Martini」を不正利用
●ランサムウェア「RansomHub」
2024年に活動を活発化し、2024年8月時点で210の組織に攻撃を仕掛けたとされる「RansomHub」の攻撃グループですが、彼らもその攻撃チェーンの一部としてBYOVD攻撃を採用しています。
彼らは「EDRKillShifter」というツールを使用します。このツールの中では脆弱性を持つ正規のドライバが標的環境内に配備され、その脆弱性を悪用することでEDRツールの保護解除に必要な権限を取得します。彼らの目的はEDRツールの機能停止による標的システムでの長期潜伏であり、その手段の1つとしてBYOVD攻撃が使用されます。
参考記事:RansomHubとは?~2024年に登場した新興ランサムウェア攻撃者グループ
●「SPYBOY」により宣伝されたセキュリティソフト無効化ツール
2023年5月にSPYBOYと名乗る人物がロシア語のアンダーグラウンドフォーラムですべてのアンチウイルス、EDR、XDRなどエンドポイントのセキュリティソフトを「無効化(Terminate)」できるとするツール「AV Killer」を宣伝しました。
この「AV Killer」の攻撃チェーンの中でもセキュリティベンダZemana社製セキュリティソフトのカーネルドライバーである「zam64.sys」の脆弱性が悪用され、カーネル権限(OS全体を制御することができる特権)が奪取されます。こちらにおいても高位の権限を取得することで、セキュリティソフトのプロセスを強制終了させる手段の1つとしてBYOVDが使用されています。
参考記事:ハッカー「SPYBOY」が宣伝するセキュリティソフト無効化ツール(Terminator)の挙動と対策を考察
●多数のサイバー攻撃者に悪用されたオンラインゲーム「原神」の正規ドライバ
2022年、人気のロールプレイングゲーム「原神」に含まれるアンチチートプログラムである「mhyprot2.sys」という正規のドライバが複数のランサムウェア攻撃などで悪用されていることが確認されました。アンチチートプログラムとは、その名の通りゲームのプレイヤーがシステムを駆使して、バグ技やチート技などの不正行為を行うことを防ぐことを目的としたプログラムです。
このドライバは「CVE-2020-36603」で登録される脆弱性を有しており、この脆弱性を悪用することで標的端末内でのカーネル権限の取得が可能となります。このドライバは当時非常に入手しやすかった上、特にオンラインゲームをインストールしていない端末でも悪用できるなど汎用性が高く、複数の攻撃者によってその攻撃チェーンの中に採用されました。
参考記事:オンラインゲーム「原神」の正規ドライバを悪用してウイルス対策を停止させるランサムウェア攻撃を確認
以上のように、BYOVD攻撃は標的組織内部に侵入してからの「権限昇格」、「セキュリティ製品の無効化」などの場面で度々使用されています。またこれらのドライバは必ずしも明確に悪意を持って開発された不正なツールではなく、正規の用途でも使用されるドライバであることから、従来のパターンマッチング技術では検出されづらい点が特徴的です。
BYOVD(Bring Your Own Vulnerable Driver)攻撃への対策
サイバー攻撃が日々高度化し、様々な手法が開発・駆使されることを踏まえると、組織はBYOVD攻撃に限らない幅広い防御施策を複数並行して実施する多層防御の考え方を前提とする必要があります。
その上で、まず侵入されなければ脆弱性を持つドライバを持ち込むもできないことから、侵入を食い止める様々な対策が有効といえます。
例えばEarth Longzhiによる初期侵入手法としては、スピアフィッシングメールが確認されたことがあります。またRansomHubでもフィッシングメールや既知の脆弱性の悪用などが実行されました。
フィッシングメールであれば、メール対策型のセキュリティソリューションを初め、社内での訓練なども依然有効な対策の1つです。また自社の脆弱性の管理については、ASRMなどの技術を駆使して、膨大な社内IT資産の脆弱性状況を効率的に管理することなどで一定の安全性が保たれます。
侵入後の対策としては、セキュリティ製品が無効化される前にその兆候を見抜く、またはセキュリティ製品の停止自体を検知できる仕組みを整えることが重要です。
例えば脆弱性のあるドライバのインストール、管理者権限の取得、認証情報の窃取などBYOVD攻撃に連なる前段の攻撃チェーンの動きが必ず発生します。それらに対し、正規ツールであっても挙動を常に監視し、攻撃者の活動の兆候を素早く検知することが重要です。
ただしこの対策は膨大なIT資産を対象に人力で行うことは難しい為、XDRなどのセキュリティ機能を用いて網羅的に監視することが有効です。例えばTrend Vision Oneでは、内部での権限昇格や認証情報のダンプなどの活動も可視化することができます。また、Trend Vision Oneの機能であるZero Trust Secure Access(ZTSA)では特定の端末やサーバにおけるEPP製品、EDR製品の無効化を検知し、自動的にリソースアクセスを制御することができます。
サイバー攻撃者による手口の巧妙さは日に日に増すばかりです。組織と顧客の安全性を高め、ビジネスの継続性を高めるためには防御側も高度な技術を使用し、効率的に対処していくことが求められます。
関連記事:
・Living Off The Land(LotL:環境寄生型)のサイバー攻撃~正規ログの中に埋没する侵入者をあぶりだすには?
・RansomHubとは?~2024年に登場した新興ランサムウェア攻撃者グループ
・EDRを入れればセキュリティ対策は安心?セキュリティ神話がもたらす危険性
