Cisco Talos は、Microsoft Windows の新たなポリシーの抜け穴を発見しました。この抜け穴により、脅威アクターはオペレーティングシステムによって実行される悪意のあるカーネルモードドライバに署名することが可能になります。脅威アクターは、Microsoft の特定の互換性ポリシーを悪用し、悪意のあるカーネルモードドライバへの署名を有効にします。そして、中国語圏の脅威アクターによって開発されたと思われる RedDriver マルウェアは、主に中国で使用されているブラウザを標的とします。
悪意のあるカーネルモードドライバは、ユーザーモードドライバとは対照的に深刻な脅威となります。これらのドライバ、RedDriverマルウェアの動作、標的、そしてビジネスを安全に保つ方法について詳しく説明します。
ジャンプ先:
- 悪意のあるカーネルモードドライバが深刻な脅威となる理由
- 抜け穴を悪用するツールは2018年から利用可能であった
- RedDriverマルウェアとは
- 中国語を話す脅威アクターと被害者
- サイバーセキュリティの脅威からビジネスを守る方法
悪意のあるカーネルモードドライバが深刻な脅威となる理由
Microsoft Windowsオペレーティングシステムは、ユーザーモードドライバとカーネルモードドライバという2種類のドライバを扱います。カーネルモードドライバは、いくつかの理由からユーザーモードドライバよりもはるかに強力です。カーネルモードドライバ:
- オペレーティング システムの低レベルで実行されるため、ユーザー モード アプリケーションよりも検出が困難になり、最高の権限でコードを実行できるようになります。
- オペレーティング システムが起動するたびに実行され、永続的に残ります。
- ファイアウォールやマルウェア対策ソフトウェアなどのハードウェアおよびシステム コンポーネントに直接アクセスできるため、セキュリティを回避するために使用される可能性があります。
- ルートキット機能を埋め込むことで、システム上の自身の存在やマルウェアなどの他のソフトウェアの存在を隠すことができます。
Microsoftは、証明書に基づく悪意のあるカーネルモードドライバーの脅威に対抗し、システムを保護するための対策を導入しました。カーネルモードドライバーは、検証済みの証明機関が発行した証明書によるデジタル署名が必要です。Windows 10 バージョン1607以降、Microsoftは署名ポリシーを更新し、開発者ポータルに提出され、署名されていない新しいカーネルモードドライバーは許可されなくなりました。
悪用されている抜け穴
古いドライバーの機能と互換性を維持するために、Microsoft は次のケースに対していくつかの例外を作成しました。
- コンピューターは、以前のリリースの Windows から Windows 10 バージョン 1607 にアップグレードされました。
- コンピュータの BIOS または UEFI ファームウェアでセキュア ブート パラメータがオフに設定されています。
- 2015 年 7 月 29 日より前に発行され、サポートされているクロス署名証明機関にチェーンされているエンド エンティティ証明書で署名されたドライバー。
Cisco Talos が書いているように、新しくコンパイルされたドライバーは、「証明書がサポートされている相互署名 CA にチェーンされていることを条件として、2015 年 7 月 29 日以前に発行された、または期限が切れた失効していない証明書で署名できる」という抜け穴が存在します。
そのため、複数のオープンソース ツールがこの抜け穴を悪用し、開発者がドライバーに正常に署名できるようにし始めています。
抜け穴を悪用するツールは2018年から利用可能であった
このWindowsポリシーの抜け穴を悪用する開発者を支援するツールが存在します。Cisco Talosは、Fu**CertVerifyTimeValidity(実際の名称はCisco Talosのレポートに記載されています)とHookSignToolについて言及しており、どちらもインターネット上で無料で入手可能です(図A)。Fu**CertVerifyTimeValidityは2018年から中国のフォーラムで入手可能であり、HookSignToolは2019年に登場しました。
図A
これらのツールは、Windows上のAPI呼び出しの監視とインストルメンテーション用に作成されたMicrosoft Detoursパッケージを使用して、「pTimeToVerify」パラメータにカスタム時刻を渡すことで、無効な時刻を検証できるようにします。Detourは、実行中に署名のタイムスタンプを変更するためにも使用されます。
どちらのツールも、デジタル署名を偽造するには、失効していないコード署名証明書(有効期限が切れているか、2015年7月29日以前に発行されたもの)と、その秘密鍵とパスワードが必要です。Cisco Talosの研究者は、いずれかのツールのフォークにGitHubでホストされているファイルを発見しました。このファイルには、両方のツールで頻繁に使用される12個以上の期限切れのコード署名証明書が含まれていました。
RedDriverマルウェアとは
攻撃チェーンは、DnfClientShell32.exeという単一の実行ファイルから始まります。このファイルは、DnfClientリソースをリモートプロセスに挿入します。次に、DnfClientは脅威アクターのコマンドアンドコントロールサーバー(C2)との通信を開始し、RedDriverペイロードのダウンロードを開始します。また、DnfClientはローカルホスト(127.0.0.1)のリスニングポートを開きます。
Cisco Talosによると、RedDriverは未公開の悪意のあるカーネルモードドライバであり、その名前は開発者がコンパイルプロジェクトのファイルパスに付けたバイナリ自体に由来しています。RedDriverはHookSignToolを使用して署名されています。Cisco Talosの研究者は、異なる証明書で署名された複数のバージョンの悪意のあるカーネルを発見しました。
RedDriverが実行されると、ハードコードされたブラウザリストに基づいてブラウザハイジャックが可能になります。これらのブラウザの多くは中国で普及しています(図B)。また、システムにルート証明書を追加します。
図B
RedDriver はこれらのブラウザからのトラフィックを 127.0.0.1 にリダイレクトしますが、その理由は不明です。RedDriver は Windows Filtering Platform(ネットワークフィルタリングアプリケーションを作成するためのプラットフォームを提供する API とシステムサービスのセット)を使用して、ブラウザトラフィックをパケットレベルで操作できるため、依然として高い脅威となります。
RedDriverの以前のバージョンは、Cisco Talosの研究者によって発見されました。このバージョンは少なくとも2021年から活動しており、数十のドライバ名がハードコードされたリストが含まれていました。Cisco Talosによると、「その多くは中国起源のソフトウェアに関連しており」、「インターネットカフェで使用されるソフトウェアに重点を置いていた」とのことです。また、中国のサイバー犯罪グループによるインターネットカフェの標的化は珍しいことではないとも述べています。
中国語を話す脅威アクターと被害者
RedDriver の開発者は、中国語を話す人物であることを示す痕跡を数多く残しています。
例えば、RedDriverに関連するドメインはすべて中国に所在しています。RedDriverの活動には、主に中国語圏のフォーラムから発信された複数のオープンソースツールのコードが関与しています。RedDriverのコードの最初の部分は、もともと中国のフォーラムに投稿されていました。
RedDriverの脅威アクターがおそらく中国系であるように、RedDriverの標的も中国語圏の人々です。RedDriverが標的とするブラウザのリストとドライバ名のリストは、主に中国のソフトウェアに関連しています。「Dnf」で始まる初期の感染ファイルは、中国で非常に人気のあるゲーム「アラド戦記オンライン」(DNF)を装おうとしたものと思われます。
サイバーセキュリティの脅威からビジネスを守る方法
Cisco Talos は、脅威アクターが使用したすべての証明書を Microsoft に報告しました。Microsoft が Windows 内で管理しているドライバーブロックリストが更新され、これらの証明書がすべてブロックされるようになりました。
Cisco Talos の調査では、コンピュータを感染させるために使用される最初の方法が示されていませんが、Web サイトの侵害、フィッシング メール、またはその他のソーシャル エンジニアリング手法である可能性があるため、一般的なサイバー セキュリティ対策を導入する必要があります。
まず、すべてのオペレーティングシステム、ファームウェア、ソフトウェアを常に最新の状態に保ち、パッチを適用する必要があります。これにより、一般的な脆弱性による侵害を回避できます。
エンドポイントとネットワークを監視し、不審な動作がないか確認するためのセキュリティソリューションを導入する必要があります。メールに添付されたファイルは注意深く分析する必要があります。
最後に、従業員は詐欺や感染の試み、特にフィッシングを検出できるようにトレーニングを受ける必要があります。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
