EDR妨害マルウェア「DreamDemon」に勝てる製品はどれだ？ 研究者が調査：セキュリティニュースアラート

セキュリティ研究者が「Windows Defender Application Control」（WDAC）を悪用してEDRを無力化する攻撃手法やマルウェア「DreamDemon」の存在を明らかにした。CrowdStrikeやSentinelOneなど特定のセキュリティ製品を標的にすることが判明している。

[後藤大地，有限会社オングス]

　セキュリティ研究者のジョナサン・バイアーレ氏は2025年8月28日（現地時間）、自身のブログにおいて「Windows Defender Application Control」（WDAC）を利用した新たな手口について報告した。

　同氏は2024年12月に公開した研究でWDACを使ってEDR（Endpoint Detection and Response）の機能を妨害する方法を実証していた。その後の経過を振り返りつつ、攻撃者による実際の悪用事例や新たなマルウェア「DreamDemon」の存在を明らかにしている。

CrowdStrikeなど複数ベンダーの製品が標的　EDR妨害マルウェアの中身

　バイアーレ氏は「Krueger」と呼ばれるマルウェアのサンプルを収集するための監視を続けてきた。その結果、複数のサンプルに特定のセキュリティ製品を狙ったWDACポリシーが組み込まれていることが分かった。

　対象とされているのはCrowdStrikeやSentinelOne、Microsoft Defender for Endpoint、Symantec、Taniumなどで、ファイルパスやファイル名を指定して動作を妨害する仕組みが含まれていたという。ただし、カーネル空間で動作するドライバーについてはポリシーだけでは完全に遮断できないなど、不完全な点もあると指摘している。

　同氏によると、この手法を使った攻撃を既に確認済みだという。Beazley Securityが対応したインシデントにおいて、攻撃者が署名情報に基づく制御を悪用してEDRを停止しており、調査を困難にしたという。Kruegerに類似した新たなマルウェア「DreamDemon」も発見されている。このマルウェアはC++で作成され、実行時にWDACポリシーをシステムに書き込み、ファイルを隠蔽（いんぺい）するなどの機能を備えている。作成日時を改ざんして検知を回避する試みも確認されており、DreamDemonの一部サンプルはランサムウェア「Black Basta」と関連する可能性がある提出ファイル名を持っていたことも報告されている。

　業界の対応についてはElasticやCrowdStrikeといったベンダーが検知ルールを公開しているが、根本的にこの手法を防ぐ仕組みを備えているのは「Microsoft Defender for Endpoint」に限られるとしている。「VirusTotal」での検知数は増加しているものの、攻撃手法そのものは依然として有効と述べている。

　バイアーレ氏は、WDACのポリシーを「ホワイトリスト」方式から「ブラックリスト」方式に切り替えることで、攻撃者が特定のセキュリティ製品のみを狙って排除できるように設計を改良している点も解説している。グループポリシーの設定を悪用して、WDACポリシーを任意の場所から読み込ませる方法があることも確認している。これにより検知を逃れる形でEDRを停止させる可能性が広がるとしている。

　最後に同氏は、DreamDemonおよびKruegerの検体に対応した新たなYARAルールを公開し、既知のセキュリティ製品に関連するパスを含むWDACポリシーを識別できる仕組みを紹介している。今回の報告は、攻撃者が本来は防御目的の仕組みを逆手にとって利用している現状を示すものであり、各組織に対し監視や検知の強化を促す内容となっている。