Symantecの調査により、最近のBlack BastaはランサムウェアにBYOVD機能を含んでいることが確認されたらしい。

www.security.com

ランサムウェアを実行するために邪魔なAV系プロセスをキルするのはよくある。BYOVDも組み込んじゃうのは、あんまり聞かない。

確かに一度の行動でEDR回避と暗号化実行を行えるっていうのは攻撃者的には良さそうに聞こえなくもないが、ファイルやメモリのフットプリントが大きくなるので違う視点のOPSEC的にダメなところが出てきそうな気がする。

ところで、Black Bastaって2025年の途中ぐらいから動いて無さそうに見えるが、まだ健在ってことなんだろうか。

www.ransomware.live

今回の件で確認された標的とするプロセス一覧

Sophos（Sophos Endpoint Protection / Intercept X / Sophos Central）

• Sophos UI.exe → ユーザーインターフェース
• SEDService.exe → Sophos Endpoint Defense Service
• SophosHealth.exe → ヘルス監視サービス
• SophosFS.exe → Sophos File Scanner Service
• SSPService.exe → Sophos System Protection Service（Endpoint Defense関連）
• SophosFileScanner.exe → ファイルスキャナー
• McsAgent.exe / McsClient.exe → Sophos Central管理エージェント（Managed Client Service）
• SophosLiveQueryService.exe → Live Query機能
• SophosNetFilter.exe → ネットワークフィルタ
• SophosNtpService.exe → ネットワーク保護関連サービス
• hmpalert.exe → HitmanPro.Alert（Sophosが買収・統合）
• Sophos.Encryption.BitLockerService.exe → Sophos Encryption（BitLocker連携）
• SophosOsquery.exe → osquery統合

Symantec Endpoint Protection (SEP)（現在はBroadcom）

• ccSvcHst.exe → Symantec Service Framework / Common Client Host（メインのサービスホストプロセス）
• SymCorpUI.exe → 企業向けユーザーインターフェース
• SISIPSService.exe → Symantec Intrusion Prevention System (IPS)
• SISIDSService.exe → Symantec Intrusion Detection System (IDS)
• SmcGui.exe → Symantec Management Client GUI
• sisipsutil.exe → IPSユーティリティ
• sepWscSvc64.exe → Windows Security Center連携サービス

Microsoft Defender Antivirus（Windows標準）

• MsMpEng.exe → Microsoft Malware Protection Engine（Defenderのリアルタイムスキャンエンジン）

CrowdStrike Falcon

• CSFalconService.exe → Falcon Sensorのメインサービス

Palo Alto Networks Cortex XDR（旧Traps / Cyveraベース）

Cy* で始まるプロセス群（BlackBerry Cylanceとは別）

• cydump.exe → ダンプ/診断関連
• cyreport.exe → レポート機能
• cyrestart.exe → 再起動関連
• cyrprtui.exe → レポートUI
• cyserver.exe → メインサーバー/サービスプロセス
• cytool.exe → コマンドラインツール
• cytray.exe → システムトレイアイコン
• cyuserserver.exe → ユーザー関連サーバー
• CyveraConsole.exe → コンソール（Cyvera買収由来）
• tlaworker.exe → バックグラウンドワーカー（Traps/Cortex XDR）

ESET

• ekrn.exe → ESET Kernel Service（リアルタイム保護のコア）
• egui.exe → ESET Graphical User Interface（メインGUI）
• eguiProxy.exe → GUIプロキシ

Avast Antivirus

• aswEngSrv.exe → Avast Engine Server（スキャンエンジン）
• aswidsagent.exe → Avast IDS/Identity Shield Agent
• AvastUI.exe → Avastユーザーインターフェース

↑のプロセスを脆弱なNsecSoft NSecKrnlドライバで止める

CVE-2025-68947に関連するNsecSoft NSecKrnlドライバでサービス作成を試みて、そのサービスで脆弱性悪用によりカーネルレベルからプロセスキルや検知機能阻害を行う感じ。

攻撃者が使うBYOVDツール from Symantec

世の中にはBYOVDツールも数え切れないくらいになってきたが、Symantecによると以下のツールがよく使われるらしい。

・TrueSightKiller: truesight.sys という脆弱なドライバーを活用
->https://github.com/MaorSabag/TrueSightKiller

・Gmer: プロセスを強制終了するために使用できるルートキットスキャナー
->http://www.gmer.net/?m=0

・GhostDriver
->https://github.com/BlackSnufkin/GhostDriver

・Poortry(別名BurntCigar)： Sophosによる解説あり。悪意のあるドライバで、Stonestopと呼ばれるローダーと併用されることが多い。多くのドライバとは異なり、Poortryは攻撃者によって開発され、署名取得に成功した可能性がある。

・AuKill: こちらもSophosによる解説あり。Process Explorerで使用されるドライバーの古いバージョンを使用してEDRプロセスを無効にする。

これだけ見ると、Sophosが攻撃者に恨まれているように見える。

いやーBYOVDをランサムウェアに組み込むのは、あんまり採用されないんじゃないか？

無駄な検知シグネチャを増やすことになるし、EDRを無効化したいのってランサムウェア実行時だけじゃないだろうし。

いやでも、ランサムウェア実行時まで全くEDRに検知されない手法に自信があってランサムウェア実行時だけはどうしてもEDRを無効化する必要がある。逆に言えば、EDR無効化はランサムウェア実行時まで絶対しない手法を取る攻撃者として、EDRを最後まで止めずに一連の操作を検知されずに最後だけ止めるというステルス手段の一つなのか？

それはそれでかなり高度だが、特定のアンチウイルスに対してしか効果をなさないので汎用性としてはイマイチではありそう。