SCATTERED SPIDERのBYOVD

SCATTERED SPIDERとして追跡されているAPTが、BYOVDを使っていることが観測されています。
BYOVDは、Bring Your Own Vulnerable Driverです。
文字通り、自分で脆弱なドライバーを持ってきて悪用するという攻撃です。
どんな攻撃でしょうか。

• 使うもの
  感染先に持ち込むものはドライバーです。
  今回の例では、Windows用のIntelイーサネット診断ドライバーでした。
• 悪用する脆弱性
  持ち込まれたドライバーには脆弱性があるものが選択されています。
  CVE-2015-2291です。
  これは番号が示す通り2015年に確認された脆弱性で、情報を取得される、情報を改ざんされる、あるいはサービス運用妨害 (DoS)状態にされる可能性があるものです。
  問題を解消できたバージョンが提供されているのかについては確認できていませんが、問題を軽減したバージョンは2016年にすでに提供されています。

通常、正しい署名のないドライバーはWindowsのカーネルに正しく読み込まれません。
そのため、通常は危険なことになりにくい構造になっています。
しかし、正規の署名のあるドライバーの場合は、カーネルに読み込まれてしまいます。
そしてそのドライバーはカーネル内の情報にアクセスができるため、脆弱なドライバーを使うことによって、攻撃者はWindowsで最高の特権を使用してコードを実行できます。

最高の特権が使用できますので、いろいろなことが可能です。
情報の取得などのそもそもの悪意のある目的の実行も可能でしょうし、そういった活動を検出されないための活動も実現が可能になってしまいます。
検出されないための活動というのは、Microsoft Defender for Endpoint、Palo Alto Networks Cortex
XDR、SentinelOneといった安全のための機構をバイパスするというものです。

このようにBYOVDは悪用が可能で危険性の高い問題です。
BYOVDを使おうとするAPTはほかにもあります。
注意してしすぎるということはないでしょう。

しかし過度に恐れる必要はないかもしれません。
使用するものは最新に保つ、入手経路は確かなものを使う、など基本的な取り組みの継続運用によって多くのケースではカバーできるのではないでしょうか。

参考記事（外部リンク）：SCATTERED SPIDER Exploits Windows Security Deficiencies with
Bring-Your-Own-Vulnerable-Driver Tactic in Attempt to Bypass Endpoint Security
www.crowdstrike.com/blog/scattered-spider-attempts-to-avoid-detection-with-bring-your-own-vulnerable-driver-tactic/