BYOVDからのSliver

BYOVDはBring Your Own Vulnerable Driver攻撃です。
先日も話題になっていましたが、自分で脆弱なドライバーを持ってきて悪用するという攻撃です。
そしてSliverはペンテストツールです。
Sliverはエクスプロイト後のツールキットで、最近よく悪用が観測されているものです。
このポジションは従来であればCobalt StrikeやMetasploitの部分でしたが、これらはいろいろな意味で有名になりすぎました。
攻撃行為に使用した場合に検出されて防御される可能性が高くなってきたので、別のツールを使おうというわけです。
こういった道具を使って構成された攻撃が観測されています。
こんな感じで進みます。

• 脆弱性を悪用する
  Sunloginの脆弱性を悪用することから始まります。
  Sunloginはリモート コントロール ユーティリティです。
  Sunloginの脆弱性を悪用し、PowerShellコマンドを実行します。

   

• BYOVDで準備する
  次の段階は準備です。
  準備することなく活動を開始すると攻撃を防御されてしまいます。
  準備というのは侵害環境のセキュリティ製品を無力化することです。
  PowerShellで改変されたMhyprot2DrvControlを環境に差し込みます。
  これにより各種マルウェア対策製品のプロセスを停止させます。
  BYOVDですからこのマルウェアはカーネルモードで動作していて特権を保有しています。
  権限が必要なこういった活動も実施可能になっています。

   

• リバースシェルを設置する
  活動のための準備は整いました。
  次はリバースシェルの設置です。
  利用されるのはPowercatです。
  PowercatはNetcatのPowerShellバージョンでgithubで公開されています。
  NetcatはTCPやUDPのパケットを読み書きするバックエンドとして機能するツールとして有名なものです。
  これで攻撃者は侵入先を制御することができるようになりました。

   

• バックドアを設置する
  PowerShellはさらにバックドアも設置します。
  設置するバックドアはSliverバックドアです。
  設置されたバックドアはmTLSプロトコルを使用してC2と通信します。

脆弱性の悪用から始まってBYOVDからのSliver、です。
この流れの場合、侵害先のユーザの操作を必要とすることなく攻撃を進めることができます。
開始されてしまえば攻撃は完了してしまいます。
自分たちの環境をあるべき状態に保つことの重要性を感じます。
タイムリーに適切な範囲で保てていることが重要となりそうです。

参考記事（外部リンク）：Sliver Malware With BYOVD Distributed Through Sunlogin
Vulnerability Exploitations
asec.ahnlab.com/en/47088/