最新のランサムウェア被害と巧妙化する手口
たとえば近年ではランサムウェア・アズ・ア・サービス(RaaS)を使った攻撃グループが目立ち始め、その手法としては機密データの窃盗および盗難データの公開をちらつかせた金銭の要求が多くなっています。
企業側では対策として防御を固め、EDR(Endpoint Detection and Response)等を活用していますが、これを無効化できるランサムウェアの登場が報じられており、危機感が高まりつつあります。
現状と分析
こうしたランサムウェアは故意に偽装デバイスドライバをインストールさせ、ターゲット企業のネットワークへ侵入、EDR製品を妨害、削除させることが分かっています。
攻撃では正規ドライバを偽装したドライバがEDRを妨害してデジタル証明書を悪用、正規プログラムになりすますのです。
攻撃の証拠として海外で盗まれ失効したデジタル証明書を使い署名され、さまざまなマルウェア攻撃で共有されていたことが判明しています。
実は証明書が失効していれば安全というのは誤った認識です、特定のプログラムでは有効な場合があるからです。たとえばドライバはカーネルレベルのアクセス権を所持するため、OSは失効済み証明書で署名されたドライバでも、一部読み込みを許可することがありえます。そのため対策として全ドライバを一律ブロックすると、返ってシステムに悪影響が出てクラッシュする恐れが高まりかねません。
問題点
WindowsOSではドライバ署名を検証する仕組みが備えられてはいますが、証明書チェーンが悪用され『古い証明書』が含まれていても、一部ドライバはインストールされ、実行までもが許可されてしまうことが広く知られています。
実際の攻撃では証明書の署名日時を改ざんしたり、有効期限切れや失効済みの証明書をさも有効であるかのごとく偽装しており、判別が難しいことも事実なのです。
課題
ランサムウェア攻撃に用いられる偽装ドライバはファイルやプロセスを操作でき、EDRのプログラムの強制終了や完全削除も可能と言われています。こうしたドライバは特定のAPIに登録されたコールバック通知を削除、EDR製品を無力化できるため非常に危険性が高いと断定できます。
多くの犯行にはランサムウェア配布に隠匿ツールと偽装ドライバも使われており、予断を許さない状況であることは間違いありません。