Slapdash Safeguards

にわか仕込みのセキュリティ

EDR Killerの「BlackSanta」のBYOVDを読み解く

by skybreaker 脅威情報

単純に目を引く名前のEDR Killerだったので気になった。

www.aryaka.com

BYOVD(Bring Your Own Vulnerable Driver)で使用されたドライバ

BYOVDは脆弱なカーネルドライバを持ち込んで、読み込ませて使う。

そうして、カーネルレベルで操作を行うことでEDRとかセキュリティ製品の機能を無力化する。

脆弱なドライバは世の中に多数あるが、全部が全部何でもできるわけではない。

達成したい目的に応じて、カーネルレベルでその操作が可能な脆弱なドライバが持ち込まれる。

BlackSantaの場合は、プロセスキル用とファイルハンドル取得用というように2つの脆弱なドライバを持ってきた。

プロセスキル用 -> RogueKiller Antirootkit Driver(truesight.sys)

レポートには、RogueKiller Antirootkit Driver v3.1.0が使用されていたと記載されている。

そもそも、「RogueKiller Antirootkit」というのがフランスのAdlice Software社が開発したルートキット検出・除去ツールらしい。今は名前が変わったようだ。
Free Virus Cleaner | RogueKiller AntiMalware • Adlice Software

今回、脆弱なドライバとして取り上げられているのがそのカーネルドライバの「truesight.sys」。

v3.4.0未満のすべてのバージョンには、任意のプロセスを終了できる脆弱性があるらしい。

確かにルートキット削除ツールならそういう機能大事だよね。でも、脆弱性があったら悪用待ったなし。

v2.0.2を悪用した事例に関しては、CheckPoint Researchの記事でも解説されていた。
Silent Killers: Unmasking a Large-Scale Legacy Driver Exploitation Campaign - Check Point Research

解説やPoCから分かるようにIOCTLコード0x22E044に好きにアクセスできるようで、こいつがカーネルレベルからの任意のプロセス終了に繋がる。
github.com

これによって、Protected Process Light(PPL)とか関係なく勝手にプロセス終了させられる。

ファイルハンドル取得用 -> IObit Unlocker (IObitUnlocker.sys)

IObit Unlockerのホームぺージには、「ロックがかかって削除や名前の変更ができない ファイルのロックが解除できるアプリ」と記載されている。
jp.iobit.com

確かに、ファイル削除とかしたくても削除も変更もできなくて困るときがあるからそれをどうにかしたいツールなのは分かる。

でも、ランサムウェア実行前に邪魔なファイルロックを排除するのに使用されるイメージしかない。

日本のランサムウェア被害の調査でも何度も見たことあるし、ちゃんとマルウェア認定されている。
www.trendmicro.com

このIObit Unlockerに含まれる「IObitUnlocker.sys」にカーネルレベルからファイルのアンロックを好きにできてしまう脆弱性があったと。

こちらもそういうアプリケーションだから、そういう機能あるよねっていう脆弱性。

再び、脆弱性なので悪用待ったなし。

IOCTLコード0x222124がファイルのアンロックのための機能を持っているようだ。
github.com

BYOVDって最新環境ではそんなに最強って感じじゃ無い............ってことも無いか。

上記2つがあれば、どこでもカーネルレベルでプロセスキルできて、ファイルアンロックできるって訳じゃない。

そりゃBYOVD、EDRバイパス、EDR回避って騒がれてアンチウイルス業界が何もしない訳が無いっしょ。

Windowsの機能でHVCI, DSE, VDBっていうドライバ周りの機能で守ってたりする。カーネルメモリ領域の保護したり、正規の署名を強制したり、脆弱なドライバのブロックリストを持っていたりする。
learn.microsoft.com

ただ、個人的なお気持ちとしてはカーネルレベルのシェルコードを実行は防げてもデータ操作は防げなかったり、盗んできた署名や古い署名使用したり、既知の脆弱なドライバでもまだブロックリストに載っていないもの使用したりできちゃうからぶっちゃけ効果発揮しきれていない。

ゼロデイは仕方ないだろうが、既知の脆弱なドライバもあんまり更新早くなさそうなのと網羅性に難がある部分があるので実は守り切れていない感じ。

この辺の話だと、割と前から脆弱性があるって知られていてLOL Driversにリストされているドライバが、まだ使用できるよって2025年12月にちょっと話題になっていた。
github.com

ちなみに、truesight.sysもIObitUnlocker.sysもLOL Driversに載っている
www.loldrivers.io

www.loldrivers.io

大変そうだが、頑張って欲しい。

そんで、HVCI, DSE, VDBってそもそもWindows 11系の話なので、Windows 10とかだと有効化されていないとか、対応していないバージョンとかよくある話。

EDR系もドライバブロックリストを持っているようだが、どこまで有効なのでしょうか。

もっとWindowsと仲良くなりたい

Windowsのペネトレーションテストやるならもっと仲良なって理解してあげないといけないし、インシデント調査するにしても仲良くならないといけない。

あとは、オープンソースの脆弱性はClaudeとかChatGPTとか、その他OSS系のAI脆弱性解析ツールで脆弱性が直ぐ見つかっちゃって面白くなさそうだから、Windowsカーネル周りの脆弱性解析を主食にしたい気持ちも有りまする。