Sophosはこのほど、「Remove All The Callbacks – BlackByte Ransomware Disables EDR Via RTCore64.sys Abuse – Sophos News」において、正規のWindowsドライバに存在する既知の脆弱性を悪用してセキュリティソリューションを回避するランサムウェア「BlackByte」を発見したと伝えた。「BlackByte」の背後にいる攻撃者が公開したデータ漏洩Webサイトが報告されたことで再調査が行われ、このランサムウェアに回避技術が組み込まれていたことが判明している。
-
Remove All The Callbacks – BlackByte Ransomware Disables EDR Via RTCore64.sys Abuse – Sophos News
「RTCore64.sys」および「RTCore32.sys」は、Micro-StarのMSI AfterBurner 4.6.2.15658で使われているWindowsのドライバ。これらのドライバにCVE-2019-16098として特定されている既知の脆弱性が存在する。この脆弱性の深刻度はCVSSv3スコア値7.8で重要(High)と位置づけられており、認証されたユーザーが任意のメモリを読み書きできるため、悪用されることで特権の昇格および高権限下でのコード実行、情報漏洩などが発生する可能性があるとされている。
SophosがBlackByteのサンプルを調査したところ、RTCore64.sysの既知の脆弱性を悪用してエンドポイント検出応答(EDR: Endpoint Detection and Response)を回避する実装が組み込まれていたことが明らかとなった。この機能は「EDRSandblast」と呼ばれるエンドポイント検出応答を回避するオープンソースツールの実装をほぼコピーしたものとみられている。
今回のようなランサムウェア攻撃から積極的に保護するために、システムにインストールされているドライバを把握して最新であることを確認することや悪用が確認されているドライバをブロックリストに登録すること、システムを常にアップデートするなどの緩和策を実施しておくことが望まれている。
