RansomHubがカスペルスキーのツールを悪用してEDRの検出を回避する

サイバーセキュリティ企業 Malwarebytesはランサムウェア 攻撃 集団「RansomHub」が、カスペルスキーの正規ツールである TDSSKiller と資格情報を収集するツールLaZagneを使用して、標的のシステム上のエンドポイント検出、検知、防御するEDRを無効にしようとしていると指摘しました。

カスペルスキーのTDSSKiller とは

TDSSKillerはルートキットを検知、削除する無料のツールです

ルートキットは、システムに侵入して隠れた状態で操作を行うマルウェアの一種で、

特定のプロセスやフォルダ、ファイル、レジストリキーなどへ目に見えない形でインストールさせます。

TDSSKillerもLaZagneも何年も前から様々な脅威アクターに悪用されている事を指摘されていましたが、今回ランサムウェア 攻撃 集団「RansomHub」が悪用している事が発覚しました。

TDSSKillerを悪用してEDRを無効化する

マシン上で実行されている Malwarebytes Anti-Malware Service (MBAMService) を無効にしようとするコマンドライン スクリプトまたはバッチ ファイルを使用してカーネル レベルのサービスとやり取りしています。

RansomHubは、TDSSKiller を使用して、いくつかの重要なセキュリティ サービスを無効にしようとしていました。攻撃者は管理者権限を持っていたため、改ざん防止保護がオンになっている場合でもEDRを無効しようとする試みは成功する可能性があります。

画像引用：Malwarebytes

コマンドラインの詳細

コマンドライン: tdsskiller.exe -dcsvc [….] -dcsvc フラグは特定のセキュリティサービスを対象としています。

ファイルパス: 攻撃者は、一時ディレクトリ (C:\Users<ユーザー>\AppData\Local\Temp) から TDSSKiller を実行しようとしました。ファイル名は {89BCFDFB-BBAF-4631-9E8C-P98AB539AC}.exe のような動的に生成されます。

TDSSKiller は有効な証明書で署名された正当なツールであるため、セキュリティ ソリューションによって RansomHubの攻撃がフラグ付けされたり阻止されたりするリスクはありません。

LaZagneを悪用して資格情報を抽出する

次に、RansomHubはLaZagneを使用して、データベースに保存されている資格情報を抽出しようとしました。

LaZagneを使用すると、攻撃者はブラウザ、電子メール クライアント、データベースなど、さまざまなアプリケーションからログイン情報を取得でき、ネットワーク内で横方向に移動する能力が強化されます。 

Malwarebytes が調査した攻撃では、ツールによって 60 件のファイル書き込みが生成されましたが、これは盗まれた資格情報のログであると考えられます。

ファイルを削除するアクションは、攻撃者がシステム上での活動を隠そうとした結果である可能性があります。

緩和策

TDSSKiller などの脆弱なドライバーを監視および制限するための制御を実装する

サービスを無効化または削除するパラメータである「-dcsvc」フラグと、TDSSKiller 自体の実行を監視することで、悪意のあるアクティビティを検出してブロックすることができます。

ネットワークセグメンテーションの導入

ネットワークセグメンテーションの導入し、重要なシステムを分離する

引用

RansomHub ransomware abuses Kaspersky TDSSKiller to disable EDR software

New RansomHub attack uses TDSSKiller and LaZagne, disables EDR