攻撃者はどうやってEDRの検知を回避するのか？　Palo Alto Networks調査で判明：セキュリティニュースアラート

　Palo Alto Networksの調査によると、脅威アクターが初期アクセスブローカーから「Atera RMM」経由でネットワークへのアクセス権を購入し、不正な仮想システムを構築してCortex XDRエージェントをインストールしていたことが分かった。

　この動向は、BYOVD（Bring Your Own Vulnerable Driver）技術を活用したアンチウイルス／エンドポイント検出応答（AV／EDR）バイパスツールのテストと見られており、セキュリティ製品の回避を試みようとしたことが確認されている。

　Palo Alto Networksによると、この仮想システムとクライアントネットワークの接続を同社の調査員が意図せず発見し、結果的に攻撃者のシステムへのアクセスを特定し、アクセス権の奪取につながったという。攻撃者が利用したアクセス権を確認できたことで、攻撃者が所有するさまざまなツールやファイル、ターゲットに関する情報が可視化され、逆に脅威アクターのツールや手口、人物像に関する貴重な情報が得られた。

　脅威アクターがテストしていたバイパスツールの中に「disabler.exe」と呼ばれるプログラムが発見された。このプログラムは「EDRSandBlast」というオープンソースのコードを改変したもので、EDRの監視をすり抜けることを目的としたツールであることが判明した。

　さらにこのバイパスツールが調査され、「KernelMode」と名乗るアカウントがバイパスツールの販売に関与していることが分かった。このアカウントが「XSS」や「Exploit」といったサイバー犯罪フォーラムにおいて、ツールのデモビデオを公開していたことが確認された。フォーラムに投稿された情報と一致する人物のプロフィールが「LinkedIn」やロシアのSNS「VKontakte」で発見されており、カザフスタンに拠点を置く企業に勤務していることを特定できた。

　今回のインシデントはAV／EDRバイパスツールの脅威が日々進化していることを示しており、脅威アクターがセキュリティ防御の突破を図っている現状を浮き彫りにしている。Palo Alto Networksは組織がこのような脅威に対応するためにセキュリティツールのポリシーや設定の見直し、エージェントの改ざん防止機能の有効化などを実施するよう推奨している。