Microsoft から、Microsoft 認証書として署名されたマルウェアが拡散している内容について公開された。[1]この内容によると、Microsoft の様々な開発者アカウントが流出したことにより、Windows ハードウェア開発者プログラム(Windows Hardware Developer Program)で認証したドライバーが悪用されており、被害を防ぐために Microsoft では関連したアカウントを遮断しセキュリティアップデート(Microsoft Defender 1.377.987.0 以上)を適用した。
Windows ではカーネルモードドライバーをロードする際、セキュリティ脅威を防ぐため、署名されている場合のみロードできるようになっている。もし署名されていない場合は、ロードできないエラーを発生させる。そのため、今回の不正なドライバーの機能を行うためには署名が必須であり、有効な Microsoft 認証書が使用されるため、ユーザーは不正に作成されたファイルであることが分かりにくかったはずである。
このマルウェアは SentinelOne[2]、Mandiant、Sophos[3]から発見され、この業者では関連したマルウェアについての情報を公開している。セキュリティプログラムを終了するために製作および使用され、最終的にはランサムウェアを配布する目的で使用されたことを明らかにしている。公開されたドライバーファイルは、セキュリティプログラムを無効にするツールとして、以下のような機能を担っている。
[図1] プロセスの終了(IOCTL : 0x222094)
[図2] プロセスの一時停止(IOCTL : 0x22209C)
[図3] プロセスの再開(IOCTL : 0x2220A0)
ドライバーをインストールしたローダーがこのドライバーに値を伝達して実行されているが、伝達される値は IOCTL(Input/Output Control Code)番号とターゲットプロセス情報である。IOCTL はユーザーモードアプリケーションと、ドライバー間の通信インターフェイスであり、ドライバーには上記の[図1~3]のような機能ごとに IOCTL 番号が付与されている。ローダーから特定機能に合った IOCTL 番号とプロセス情報を伝達されて動作する。Sophos によると、終了するターゲットプロセスはローダーに明示されており、様々なセキュリティ業者のサービスとプロセスの名前を確認することができる。そのため、ローダーに明示されたセキュリティプロフラムが無効にされるのである。
また、ドライバーの通信時には「\\\\.\\KApcHelperLink1」という名前のシンボリックリンクが使われる。
[図4] ドライバーのシンボリックリンク
この被害を防ぐため、ユーザーは Windows セキュリティアップデートを最新にしなければならない。また、現在 V3 では、これらのマルウェアを以下のように検知している。
[ファイル検知]
Trojan/Win32.Agent.C114064
Trojan/Win.RootkitDrv.C5311744
Trojan/Win.RootkitDrv.C5311748
Trojan/Win.RootkitDrv.C5311745
Trojan/Win.RootkitDrv.C5313281
Trojan/Win.RootkitDrv.C5313299
Trojan/Win.RootkitDrv.C5313267
Trojan/Win.RootkitDrv.C5313273
Trojan/Win.RootkitDrv.C5313261
Trojan/Win.RootkitDrv.C5313014
Trojan/Win.RootkitDrv.C5313271
Trojan/Win.RootkitDrv.C5313304
Trojan/Win.RootkitDrv.C5313297
Trojan/Win.RootkitDrv.C5313257
Trojan/Win.RootkitDrv.C5311743
Trojan/Win.RootkitDrv.C5313262
Trojan/Win.RootkitDrv.C5311747
Trojan/Win.RootkitDrv.C5313269
Trojan/Win.RootkitDrv.C5313259
Trojan/Win.RootkitDrv.C5313278
Trojan/Win.RootkitDrv.C5313296
Trojan/Win.RootkitDrv.C5311742
Trojan/Win.RootkitDrv.C5311746
Trojan/Win.RootkitDrv.C5313303
Trojan/Win.RootkitDrv.C5313265
Trojan/Win.RootkitDrv.C5311749
Trojan/Win.RootkitDrv.C5313295
Trojan/Win.RootkitDrv.C5313263
Trojan/Win.RootkitDrv.C5313260
Trojan/Win.RootkitDrv.C5313302
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報