Sophosは8月14日(英国時間)、「Ransomware attackers introduce new EDR killer to their arsenal – Sophos News」において、ランサムウェア「RansomHub」を使用する脅威アクターがエンドポイント検出応答(EDR: Endpoint Detection and Response)製品を無力化する新しい攻撃ツールを使用したとして、注意を呼び掛けた。同社はこの攻撃ツールを「EDRKillShifter」と名付けている。

  • Ransomware attackers introduce new EDR killer to their arsenal – Sophos News

    Ransomware attackers introduce new EDR killer to their arsenal – Sophos News

サイバー攻撃ツール「EDRKillShifter」とは

Sophosの報告によると、EDRKillShifterは2024年5月に発生した事案で初めて存在が確認されたという。この事案ではSophosのセキュリティ製品をEDRKillShifterにより停止させようとしたが失敗したという。また、失敗後にランサムウェアを実行しようとしたが、これもセキュリティソリューションにより阻止されたとのこと。

SophosはこのツールをBYOVD(Bring Your Own Vulnerable Driver)の一種と分析している。使用される脆弱なドライバーは複数存在し、それらのうちの1つをドロップして悪用する。ドライバーの悪用に成功すると必要な権限を取得してセキュリティソリューションの停止を試みる。

EDRKillShifterには、ロシア語のプロパティ情報が埋め込まれていることが確認されている。そのため、少なくとも開発者の1人はロシア語を開発環境に採用している人物とみられている。また、発見されたサンプルはすべて異なる最終ペイロード(亜種)を展開することがわかっている。Sophosはこれら分析の結果から、複数の脅威アクターによる分業の可能性や、製品として販売された可能性を指摘している。

緩和策

SophosはEDRKillShifterを使用した攻撃を回避するため、Windowsデバイスの管理者に次のような緩和策の実施を推奨している。

  • 最小権限の原則を徹底する。この攻撃は権限昇格または、管理者権限を窃取できる場合にのみ成功する。ユーザー権限を管理者権限から分離することでドライバーのロードを阻止することができる
  • システムを最新の状態に維持する

Microsoftは2023年7月に脆弱なドライバーのデジタル署名を無効にする更新プログラムを公開している(参考:「ADV230001 - セキュリティ更新プログラム ガイド - Microsoft - Microsoft 署名済みドライバーが悪用された場合のガイダンス」)。これら更新プログラムを適用することで脆弱なドライバーのロードが困難となり攻撃を回避できることから、システムの積極的なアップデートが望まれている。