サイバー脅威
ハッカー「SPYBOY」が宣伝するセキュリティソフト無効化ツール(Terminator)の挙動と対策を考察
ロシア語のアンダーグラウンドフォーラムでSPYBOYと名乗るハッカーが、すべてのアンチウイルス、EDR、XDRなどエンドポイントのセキュリティソフトを「無効化(Terminate)」できるとするツールを宣伝したことが報道され、注目されています。「AV Killer」などとも呼ばれるこのツールは、攻撃者に大きなアドバンテージを与え、セキュリティの努力を無に帰するものなのでしょうか?
SPYBOYの無効化ツールとその実行条件
このツールを宣伝する投稿がロシア語フォーラムに投稿されたのは5月21日のことです。宣伝では、このツールはWindows7以降のOS上ですべてのアンチウイルス/EDR/XDR製品を無効化できるとされています。具体的に無効化の対象となる製品としては24のセキュリティベンダー名が挙げられており、弊社トレンドマイクロもそのリストに入っていました。これら24ベンダーすべての製品を対象にした「All-In-One」バージョンは$1500、特定の1社の製品を対象としたバージョンは$300で販売するとされています。
エンドポイントのセキュリティソフトを無効化する、という売り文句は衝撃的であり、攻撃者にこのツールを使用されるとセキュリティソフトの導入は無意味になってしまうように思えます。しかし果たしてそれは本当でしょうか?
トレンドマイクロも含め、複数のセキュリティベンダーやリサーチャーによる検証では、このツールを使用してセキュリティソフトを無効化するためには、管理者権限が必要であることが確認されています。管理者権限がない場合、Windowsのユーザアカウント制御(UAC)機能による実行許可のメッセージに応答する必要があります。つまり、攻撃者がこのツールを使用しても無制限にセキュリティソフトを無効化できるわけではなく、管理者権限の奪取、もしくは利用者を騙してUACの回避を行う必要があります。
セキュリティソフトの無効化を巡る戦い
そもそも、SPYBOYのツールが行うようなセキュリティソフトの無効化は、今回初めて登場した手法というわけではありません。1990年代後半Windowsが登場した時代から、「コンピューターウイルス」を使用する攻撃者にとってアンチウイルスソフトは目の上のたんこぶであり、そのころからすでにセキュリティソフトのプロセスを探して強制終了させる活動を行うマルウェアは存在していました。
これに対し、セキュリティベンダー側は当然、無効化を防ぐ手立てを施してきました。例として、自身のプロセスが強制終了された場合、それを再起動する「ウォッチドッグ」プロセスなどがあります。ただし、セキュリティソフトもWindows OS上で動作する1プログラムである以上、無効化される可能性は0にはなりません。例えば、相応の権限を持つユーザアカウントにより、正規のアンインストーラを起動してアンインストールが行われた場合、それを防ぐことはできません。また、カーネル権限を持つドライバーを介すれば、プロセスを強制終了させることも可能です。実際、管理者権限さえ持っていれば、セキュリティソフトも含め、通常は終了できないプロセスの強制終了が可能なハッキングツールは複数存在しています。
ネットワーク侵入後の内部活動で攻撃者が行うこと
ここ数年の標的型攻撃や侵入型(Human-Operated)のランサムウェア攻撃の中で、ネットワーク内に侵入した攻撃者がまず目指すことの1つに管理者権限の奪取があります。ネットワークの管理者権限が奪取できた場合、攻撃者はネットワーク内ではほぼすべての操作が自由にできるようになります。特に、ランサムウェア攻撃の場合、管理者権限の奪取から、ADサーバの侵害、Windowsのグループポリシー機能を悪用したランサムウェアの拡散と実行、セキュリティソフトのアンインストールや強制終了による無効化といった手口が常套手段的に見られています。2019年1月から現在(2023年6月)までの間にトレンドマイクロが行ったインシデント対応支援においては、約半数(47.5%)の事例においてセキュリティソフトの無効化が行われていたことを確認しています。
これらのことからセキュリティソフトの無効化について、SPYBOYのツールは表層的な存在に過ぎず、攻撃者にネットワーク内に侵入され管理者権限を奪取されてしまうことが根本的な問題であるといえます。攻撃者が管理者権限を奪取する手法としては、権限昇格の脆弱性の悪用や、認証情報の窃取によるアカウント乗っ取りなどがあります。脆弱性に関しては、当社が実施した主要なランサムウェアグループの活動状況のリサーチ結果によると、攻撃者が悪用した脆弱性の54.3%が権限昇格に関連した脆弱性であったことを確認しています。認証情報窃取に関しても、WindowsのLSASS(Local Security Authority Subsystem Service)機能が使用するメモリ領域をダンプして認証情報を奪取可能なツールなども存在しており、ネットワークに侵入した攻撃者にとって、管理者権限奪取の難易度は以前よりも低くなっているのが現状と言えます。
再度、SPYBOYの無効化ツールについて
SPYBOYのツールはどのようにセキュリティソフトを無効化しているのでしょうか?トレンドマイクロでは、このツールが「zam64.sys」(SHA1: 16d7ecf09fc98798a6170e4cef2745e0bee3f5c7)というファイルを利用することを確認しています。悪用されたドライバーの情報を収集するプロジェクト「Living Off the Land Drivers」の情報によれば、このファイルはトルコのセキュリティベンダーZemana社製セキュリティソフトの正規のカーネルドライバーであるようです。SPYBOYのツールはこのドライバーを悪用してカーネルレベルの権限を得、セキュリティソフトのプロセスを強制終了させているものです。このように、悪用可能な正規ドライバーを用いて活動を行う手法は、「BYOVD(Bring Your Own Vulnerable Driver)」とも呼ばれ、「環境寄生型(Living Off the Land)」の攻撃戦略の拡大と共に、一般的な攻撃手法となってきています。ほぼ同様の例としては、日本でも人気のオンラインゲーム「原神」のアンチチートドライバが悪用された事例がありました。
総括:SPYBOYの無効化ツールの登場が示すもの
ハッカーSPYBOYが宣伝した無効化ツールは、攻撃者にとって不可能を可能にする「魔法の杖」ではありませんでした。あくまでも攻撃者がこれまで行ってきた攻撃手法を支援するツールの1つに過ぎないものと言えます。同時に、このようなツールの登場は、攻撃者にとってセキュリティソフトの無効化が、常套手段となっていることを示すものとも言えます。
このような攻撃手法に対し、法人組織ではこれまで行ってきた対策を継続していくことで対処は可能です。セキュリティソフトの無効化に対しては、無効化に使用するツールを検出するほか、そもそもネットワークへの侵入を防ぐ、管理者権限を奪取する内部活動を可視化するなど、各攻撃段階で行われる不正な活動にいち早く気づくための多層防御の活用と、適切な対応を迅速に行うための体制構築が重要です。継続的に攻撃者の用いる攻撃手法を理解し、適切に恐れ、適切な防護を行えるようにしていくことがセキュリティ確保の近道です。
トレンドマイクロの対策
今回紹介したセキュリティソフト無効化ツールに対し、トレンドマイクロ製品では以下のように不正な活動を可視化し、警告いたします:
Trend Vision One™
トレンドマイクロのXDR製品であるTrend Vision One では、検出モデル"Suspicious Service Installation for Disabling AV Security Product using Zemana Anti-Malware Driver" として、今回のセキュリティソフト無効化ツールの不正活動を可視化し警告します:
トレンドマイクロのサーバおよびエンドポイント製品 (Apex One、Cloud One - Workload Security、Deep Security、Worry-Free Business Security など) の挙動監視機能では、以下の検出で今回のセキュリティソフト無効化ツールの活動を警告します:
- 2911T - Anti-AV/Anti-EDR by abusing Zemana AntiLogger Vulnerable Driver
- SEN2054S - Malicious Driver Dropping
さらにTrend Vision Oneでは、内部での権限昇格や認証情報のダンプなどの活動も可視化することができます。これらの多層防御により侵入した攻撃者による不審な内部活動を可視化し、迅速な対応を可能にします。
また、Trend Vision Oneの機能である Zero Trust Secure Access(ZTSA) では特定の端末やサーバにおけるEPP製品、EDR製品の無効化を検知し、自動的にリソースアクセスを制御することができます。この機能を活用し、EPP製品やEDR製品が無効化された場合にインターネットへのアクセスを禁止するなどの設定を行うことにより、被害の拡大を防ぐことが期待できます。