戻ってきたTerminator

BYOVDはご存じでしょうか。
BYOVDはBring Your Own Vulnerable Driverです。
脆弱なドライバーを侵害環境に自分で持ち込んで、それを使って侵害しようという攻撃手法です。
この手法は以前大きな問題となり、それから長い時間が経過していますが、今また展開されています。
このBYOVDは、持ち込んだ脆弱なものがドライバーであり、そのドライバーがシステムのkernelの権限で動作することになるものであることもあり、成り立ってしまうと被害は大きなものになりやすいものです。

最近展開が確認されている脅威の一つは、Terminatorです。
これは2023年5月から犯罪フォーラムで案内されるようになったものです。
このTerminatorは、24種類ものセキュリティ製品を無効化できるとして宣伝されています。

Terminatorにはいくつもの亜種がありますが、たとえば、TerminatorはZemanaの脆弱なドライバーを悪用します。
Zemanaはトルコのアンチウィルスソフトウェアを展開するベンダーのもので、Android用のセキュリティソフトウェアを提供しています。
彼らの提供するソフトウェアのうちの、Zemana Anti-LoggerとZemana Anti-Malwareが悪用の対象になっています。
これらは、もともとのソフトウェアとしては異なる効能を提供するものとなっていますが、そのなかに含まれるドライバーのコードの構造はかなり類似したものになっています。
そして、これらのドライバーはどちらも脆弱性を持ったものとなっていたことが分かっています。

これらのドライバーにはシステムコールを発行する機能がありますので、それを勝手に利用されないようにドライバーを利用することのできるプロセスを制限する機能が実装されています。
しかし、実装が十分でなく、その許可リストに簡単にエントリーを追加できてしまう脆弱性があったのです。
脆弱なドライバーにひとつのIOCTLコードを送信するだけで、許可リストにエントリーを追加できてしまうのです。
この脆弱性を悪用するため、これらのドライバーはBYOVDで悪用されることとなります。

従来はBYOVDは手が届きにくい手法でした。
脆弱なドライバーの用意が簡単ではなく、それを用意できたとしても、その周辺の攻撃ツールをそろえることも簡単ではなかったためです。
しかし、時間の経過とともに様子が変化してきています。

脆弱なドライバーの一覧がSurface Webで簡単に閲覧できる、犯罪フォーラムで既製のキットやツールが入手しやすくなった、こういった複数の状況の変化で、BYOVDは高度な攻撃を展開できる脅威アクターだけのものではなくなってきています。
もちろん、既存のセキュリティソリューションで防御ができるケースも増えてきています。
しかし、それと同じように、脅威の数も増加してきています。

対策はいつも通りです。
利用環境はできるだけタイムリーに更新された状態に保ちましょう。
また、それだけでなく、利用頻度の減少したソフトウェアがシステムに存在している場合には、それらをシステムから削除することもよい対策かもしれません。
どうしても、そういったソフトウェアの更新は滞ることになりやすいと考えられます。
健全な環境を維持し、安全にシステムを運用したいものです。

参考記事（外部リンク）：It’ll be back: Attackers still abusing Terminator tool and
variants
news.sophos.com/en-us/2024/03/04/itll-be-back-attackers-still-abusing-terminator-tool-and-variants/