攻撃者はどうやってEDRの検知を回避するのか? Palo Alto Networks調査で判明:セキュリティニュースアラート
Palo Alto NetworksはCortex XDRを狙ったサイバー攻撃の詳細を発表した。脅威アクターがエンドポイントセキュリティ製品の検知をどのように回避しようとしているのかが詳細に解説されている。
Palo Alto Networksは2024年11月1日(現地時間)、同社のエンドポイントセキュリティ対策製品「Cortex XDR」を標的としたサイバー攻撃の調査結果を発表した。
サイバー攻撃者らがCortex XDRの防御を回避しようと試みた事例が報告されており、攻撃者の活動内容や使用されたツールの詳細が明らかにされている。
攻撃者はどのようにしてエンドポイント防御の突破を試みるのか?
Palo Alto Networksの調査によると、脅威アクターが初期アクセスブローカーから「Atera RMM」経由でネットワークへのアクセス権を購入し、不正な仮想システムを構築してCortex XDRエージェントをインストールしていたことが分かった。
この動向は、BYOVD(Bring Your Own Vulnerable Driver)技術を活用したアンチウイルス/エンドポイント検出応答(AV/EDR)バイパスツールのテストと見られており、セキュリティ製品の回避を試みようとしたことが確認されている。
Palo Alto Networksによると、この仮想システムとクライアントネットワークの接続を同社の調査員が意図せず発見し、結果的に攻撃者のシステムへのアクセスを特定し、アクセス権の奪取につながったという。攻撃者が利用したアクセス権を確認できたことで、攻撃者が所有するさまざまなツールやファイル、ターゲットに関する情報が可視化され、逆に脅威アクターのツールや手口、人物像に関する貴重な情報が得られた。
脅威アクターがテストしていたバイパスツールの中に「disabler.exe」と呼ばれるプログラムが発見された。このプログラムは「EDRSandBlast」というオープンソースのコードを改変したもので、EDRの監視をすり抜けることを目的としたツールであることが判明した。
さらにこのバイパスツールが調査され、「KernelMode」と名乗るアカウントがバイパスツールの販売に関与していることが分かった。このアカウントが「XSS」や「Exploit」といったサイバー犯罪フォーラムにおいて、ツールのデモビデオを公開していたことが確認された。フォーラムに投稿された情報と一致する人物のプロフィールが「LinkedIn」やロシアのSNS「VKontakte」で発見されており、カザフスタンに拠点を置く企業に勤務していることを特定できた。
今回のインシデントはAV/EDRバイパスツールの脅威が日々進化していることを示しており、脅威アクターがセキュリティ防御の突破を図っている現状を浮き彫りにしている。Palo Alto Networksは組織がこのような脅威に対応するためにセキュリティツールのポリシーや設定の見直し、エージェントの改ざん防止機能の有効化などを実施するよう推奨している。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
イセトーのランサムウェア被害、その侵入経路は?【セキュリティニュースまとめ】
2024年10月は、VMware製品に関する脆弱性情報や新たなマルウェア、イセトーのランサムウェアの被害報告書の公開など多くのニュースが公開された。話題になったニュースをあらためて振り返ろう。
半数以上が「最新のパッチを適用済み」なのに、サイバー被害に遭うワケ
サイバー攻撃の被害を防ぐには一にも二にも最新のパッチ適用が重要です。ただ、最近のサイバー攻撃者の気になる動きから、これだけでは攻撃を防げない実態が見えてきました。
知っているようで意外と知らない? “脆弱性管理”の解像度を上げよう
脆弱性管理の重要性については皆さん理解しているかと思いますが、これをどう進めればいいのか高い解像度を持って実行できている企業は多くない気がします。こうした中、待望のドキュメントが登場したので紹介します。
企業がOSSメンテナーに“ただ乗り” この風潮はいつ是正されるのか?
オープンソースソフトウェアの開発者と企業をはじめとしたソフトウェアユーザーとの間には、依然として格差が存在している。ソフトウェアユーザーが高いセキュリティ基準を求める一方で必要な投資をしないため、この風潮は変わっていない。