Malwarebytesは9月9日(米国時間)、「New RansomHub attack uses TDSKiller and LaZagne, disables EDR - ThreatDown by Malwarebytes」において、ランサムウェアグループ「RansomHub」がKasperskyのルートキット検出ツール「TDSSKiller」を悪用してエンドポイント検出応答(EDR: Endpoint Detection and Response)を無効化したと報じた。脅威アクターによるTDSSKillerの悪用例は今回が初めてではないが、RansomHubによる悪用は今回が初めてとしている。

  • New RansomHub attack uses TDSKiller and LaZagne、disables EDR - ThreatDown by Malwarebytes

    New RansomHub attack uses TDSKiller and LaZagne, disables EDR - ThreatDown by Malwarebytes

攻撃者はTDSSKillerを悪用

署名された正規アプリケーションの「TDSSKiller」は、通常の使用ではセキュリティソリューションから検出されない。そのため、権限次第では任意のサービス停止に使用することができる。また、コマンドラインからの使用に対応しており、バッチスクリプトなどからも実行可能とされる。

  • TDSSKillerのコマンドラインオプション。サービス停止機能を確認できる - 引用:Malwarebytes

    TDSSKillerのコマンドラインオプション。サービス停止機能を確認できる 引用:Malwarebytes

Malwarebytesは最近、自社のセキュリティサービス「Malwarebytes Anti-Malware Service」を含む重要なサービスを停止させる目的でTDSSKillerを使用する事案を確認したという。攻撃者は事前に管理者権限を獲得していたため、この試みは成功したとされる。

この事案において、攻撃者はセキュリティサービスを停止した後、ランサムウェアを展開する前に認証情報収集ツール「LaZagne」を展開したことも確認された。LaZagneはWebブラウザ、電子メールソフト、データベースなどから認証情報を窃取する機能を持つ。この活動はネットワーク内の横方向の移動を可能にするため、内部の認証情報を収集する目的があったものとみられている。

対策

Malwarebytesは本件のように正規のアプリケーションを悪用する攻撃を回避するため、次に示す対策の実施を推奨している。

  • 脆弱なドライバの持ち込み(BYOVD: Bring Your Own Vulnerable Driver)を制限する。TDSSKillerのように悪用可能なソフトウェアを監視し、既知の悪用パターン(コマンドライン)による実行をブロックする
  • ネットワークセグメンテーションを導入し、横方向の移動を制限する。攻撃者が認証情報の取得に成功した場合も、他の重要なシステムへのアクセスを阻止する

加えて、Malwarebytesはランサムウェア対策として24時間体制で攻撃を監視することを推奨している。24時間体制を構築できない企業および組織は、検知と対応のマネージドサービス(MDR: Managed Detection and Response)の導入による24時間体制の構築が望まれている。