Trend Microは5月22日(米国時間)、「BlackCat Ransomware Deploys New Signed Kernel Driver」において、BlackCatランサムウェアが新たな署名入りのWindowsカーネルドライバを展開していると伝えた。これは、攻撃時にセキュリティソフトウェアによる検出を回避することを目的に導入されたとみられている。

  • BlackCat Ransomware Deploys New Signed Kernel Driver

    BlackCat Ransomware Deploys New Signed Kernel Driver

2023年2月に発生したBlackCatランサムウェアのインシデントについて調査が行われ、悪意のあるWindowsドライバが新たに使われていることが判明した。BlackCatに、保護されたマシン上のセキュリティソフトウェアプロセスを終了させ、検出を回避させるための新機能が導入されているという。

  • The dropped files by a BlackCat affiliate in the defense evasion phase|Trend Micro

    The dropped files by a BlackCat affiliate in the defense evasion phase|Trend Micro

この不正なカーネルドライバは、2022年12月下旬にMandiant、Sophos、Sentinel Oneが連携して報告した複数のMicrosoftハードウェア開発者アカウントを通じて署名された悪質なカーネルドライバの改良版とみられている。攻撃当初、Microsoftを通じて署名された古いドライバの悪用が試みられたが、すでにセキュリティベンダーに知られていたため、流出したクロス証明書によって署名された別の新たなカーネルドライバが悪用されていることが確認されている。

署名付きドライバは「ktgn.sys」というファイル名がつけられており、「tjr.exe」という名のユーザーエージェントにより被害者のファイルシステムの一時フォルダにドロップされることが判明している。ドライバが操作されるとKill Processと呼ばれるデバイス入出力制御(IOCTL)コードが使われ、システムにインストールされたセキュリティエージェントプロセスが強制終了される仕組みとなっている。

企業や組織はTrend Microが公開したセキュリティ侵害インジケータ(IoC: Indicator of Compromise)を参考に、BlackCatが使用する不正なドライバをブロックすることが求められている。一般的なランサムウェア攻撃対策として、強固な防御戦略を確立するための体系的なセキュリティフレームワークを導入するとともに、潜在的な侵入口を保護する多面的なアプローチを採用して悪意のある要素や疑わしい活動を検知し、ランサムウェア攻撃から組織を守ることが望まれている。