次世代ファイアウォール、ウイルス対策ソフトウェア、エンドポイント検出および対応 (EDR) ソリューションなどの主要なサイバー セキュリティ ツールを識別して無効にすることができる特殊なハンターキラー マルウェアは、2023 年にその量が 4 倍に急増し、脅威の劇的な変化を示しています。企業の防御を無力化する攻撃者の能力。
これは Picus Security の最新の年次報告書によると、 ピカスレッドレポート、期間中に観察された 600,000 を超える悪意のあるサンプルを分析し、マルウェアごとに平均 11 のテクニックを 700 万を超える Mitre ATT&CK テクニックにマッピングしました。
「私たちは、ハンターキラー潜水艦の特徴を共有する、超回避的で非常に攻撃的なマルウェアの急増を目の当たりにしています」と、レポートをまとめた同社の研究部門 Picus Labs の Picus Security 共同創設者兼副社長である Suleyman Ozarslan 氏は述べています。データ。
「これらの潜水艦が深海を静かに移動し、ターゲットの防御を破るために壊滅的な攻撃を開始するのと同じように、新しいマルウェアはセキュリティ ツールを回避するだけでなく、セキュリティ ツールを積極的にダウンさせるように設計されています。 私たちは、平均的な企業のセキュリティが大幅に改善され、脅威を検出するためのはるかに高度な機能を提供するツールが広く使用されていることに応じて、サイバー犯罪者が方針を変えていると考えています。
「1 年前、敵対者がセキュリティ制御を無効にすることは比較的まれでした。 現在、この動作はマルウェア サンプルの 4 分の 1 で見られ、事実上すべてのランサムウェア グループと APT グループで使用されています」とオザースラン氏は述べています。
「私たちは、ハンターキラー潜水艦の特徴を共有する、超回避的で攻撃性の高いマルウェアの急増を目の当たりにしています。」
スレイマン・オザルスラン、ピクス・セキュリティ
ハンターキラー マルウェアの使用は、T1562 Impair Defences として追跡される Mitre ATT&CK テクニックを表しており、その使用が劇的に増加したため、2023 年に 3 番目に多く観察された Mitre テクニックとなりました。
ピクス氏は、サイバーセキュリティユーティリティを悪意のあるツールとして再利用することで、成長はさらに微妙なものになったと述べた。 たとえば、2023 年に、LockBit ランサムウェアのチームは、カスペルスキーの TDSSKiller アンチルートキット ユーティリティを、Microsoft Defender を含むエンドポイント セキュリティ ソフトウェアを破壊する武器に変えました。
ハンターキラー マルウェアの急増は、被害者のサイバー防御を回避することで攻撃が成功する可能性を最大限に高める脅威アクターの広範な傾向の一部です。レポートのために分析されたマルウェアの 70% は現在、検出を回避し、永続性を確立および維持するためにステルス技術を採用しています。 。 Picus は、セキュリティ ツールの有効性を妨げ、検出、インシデント対応、その後のフォレンジック分析を回避することを目的とした難読化されたファイルや情報の使用が倍増していることを観察しました。
「攻撃によってセキュリティ ツールが無効化されたり、再設定されたりしたかどうかを検出することは、非常に困難です。セキュリティ ツールはまだ期待どおりに動作しているように見える可能性があるためです」と、Picus Security のセキュリティ調査責任者、Huseyin Can Yuceel 氏は述べています。
「レーダーに気づかれずに行われる攻撃を防ぐには、多層防御アプローチによる複数のセキュリティ制御を使用する必要があります。 組織が自社の準備状況をよりよく理解し、ギャップを特定するには、セキュリティの検証が出発点となる必要があります。
「組織が攻撃を積極的にシミュレーションして、EDR、XDR(拡張検出および対応)、SIEM(セキュリティ情報およびイベント管理)、およびハンターキラー マルウェアによって弱体化または排除される可能性のあるその他の防御システムの反応を評価しない限り、組織は手遅れになるまで彼らがダウンしていることに気づかないだろう」とユセル氏は語った。
Picus データで確認される、最も一般的に観察される 10 個の Mitre ATT&CK 戦術、技術、および手順 (TTP) は次のとおりです。
- T1055 プロセス インジェクション – 正規のプロセスに悪意のあるコードを挿入することで、脅威アクターの検出されない能力を強化し、潜在的に権限を昇格させ、実際に何が起こっているかを隠すために使用されます。
- T1059 コマンドおよびスクリプト インタプリタ – 被害者システム上でコマンド、スクリプト、バイナリ ファイルを実行するために使用され、攻撃者が侵害されたシステムと対話したり、より多くのペイロードやツールを取得したり、防御手段を回避したりできるようにします。
- T1562 防御の低下 – ハンターキラー マルウェアの使用について詳しく説明します。
- T1082 システム情報検出 – 組み込みツールを利用して、オペレーティング システムのバージョン、カーネル ID、潜在的な脆弱性など、侵害されたシステムのデータを収集するために使用されます。
- T1486 データは影響を与えるために暗号化されています – ランサムウェア ロッカーとデータ ワイパーによって使用されます。
- T1003 OS 資格情報ダンピング – 被害環境内の他のリソースやシステムにアクセスするためのアカウント ログインと資格情報を取得するために使用されます。
- T1071 アプリケーション層プロトコル – 標準ネットワーク プロトコルを操作するために使用されます。これにより、攻撃者はシステムに侵入し、通常のネットワーク トラフィックに紛れてデータを盗むことができます。
- T1547 ブートまたはログオンの自動開始実行 – 制御を維持したり権限を昇格したりする目的で、システムの起動時またはユーザーのログオン時にプログラムを自動的に実行するようにシステム設定を構成するために使用されます。
- T1047 Windows Management Instrumentation (WMI) – WMI データおよび運用管理ツールを悪用して、侵害された Windows ホスト上で悪意のあるコマンドとペイロードを実行するために使用されます。
- T1027 難読化されたファイルまたは情報 – 暗号化、エンコード、または圧縮によって、悪意のあるファイルまたは転送中の実行可能ファイルの内容を難読化するために使用されます。
オザルスラン氏は、ハンターキラー マルウェアと闘い、2024 年も引き続きよく使用される予定の他の TTP に対抗するには、組織は Mitre ATT&CK フレームワークに対する防御を検証し、受け入れるためにさらに努力する必要があると述べました。必要に応じて機械学習をアシスタントとして使用します。
最も一般的に観察されている Mitre ATT&CK テクニックに関する豊富な詳細を含む完全なレポートは、ここから Picus Security からダウンロードできます。