フォローする 
概要
この記事では、攻撃者がどのようにして脆弱なドライバーを自身で持ち込む(Bring Your Own Vulnerable Driver)技術を使用してカーネルレベルのアクセスを取得し、アンチウイルスやEDRプラットフォームなどのエンドポイント保護ツールを無効化または削除するかを調査しています。ファイアウォールルールの悪用、署名されているが脆弱なドライバーの誤用、セキュリティの可視性を弱めつつ持続性を維持するためにリモートアクセスツールに依存するなど、いくつかの一般的な戦術について概説しています。実際のケースでは、盗まれたVPN資格情報、悪意のある広告、および既知の欠陥を持つ正規のドライバーがセキュリティプロセスを終了するためにどのように使用されるかを示しています。中心的な懸念は、攻撃者が検出を減少させた状態で操作できる盲点を作り出すカーネルレベルの攻撃の脅威が高まっていることです。
調査
Huntressは2026年初頭に、攻撃者が盗まれたSonicWallのVPN資格情報を使用して、破棄されたEnCaseフォレンジックドライバーを悪用したカスタムEDRキラーのバイナリを展開したインシデントを記録しました。その後のケースでは、悪意のある広告がScreenConnectのインストールにつながり、その後、脆弱なHuaweiオーディオドライバーがセキュリティサービスを終了するために使用されました。これらの調査全体で、Huntressは繰り返しドライバーの乱用、プロセスの終了ループ、基本的な静的検出を回避するために信頼された署名付きドライバーの使用を観察しました。
緩和策
推奨される防衛策には、脆弱なドライバーのリアルタイムの悪用を検出することや、予期しないファイアウォールルールの変更を監視すること、そしてドライバーの署名と読み込みに関して厳格な管理を施行することが含まれます。Huntressはまた、TrueSightドライバーの悪用の検出や、悪意のあるファイアウォールルールの自動クリーンアップを導入しました。追加の保護は、改ざん防止機能やEDRツールの停止またはアンインストールを困難にするための除外の管理を強化することから得られます。
対応
この活動が検出された場合、影響を受けたシステムを直ちに隔離し、許可されていないファイアウォールの変更を元に戻し、悪意のあるドライバーをアンロードまたはブロックし、影響を受けたEDRまたはアンチウイルスエージェントを再インストールまたは修復してください。次に、セキュリティチームはフォレンジック分析を実施し、追加された持続性メカニズムや盗まれた資格情報を明らかにし、VPN資格情報などの特権アカウントをローテートすべきです。
graph TB classDef action fill:#99ccff action_valid_accounts[“<b>アクション</b> – <b>T1078 有効なアカウント</b><br/><b>説明</b>: 侵害された認証情報を使用して正規アクセスを取得”] class action_valid_accounts action action_priv_esc[“<b>アクション</b> – <b>T1068 権限昇格のための悪用</b><br/><b>説明</b>: 脆弱な署名済みドライバを悪用して権限を昇格<br/><b>詳細</b>: EnCase脆弱ドライバによるBYOVD”] class action_priv_esc action action_impair_defenses[“<b>アクション</b> – <b>T1562 防御機能の妨害</b><br/><b>説明</b>: セキュリティエージェントの削除または無効化、関連プロセスの終了”] class action_impair_defenses action action_disable_firewall[“<b>アクション</b> – <b>T1562.004 ファイアウォールの無効化または変更</b><br/><b>説明</b>: EDR通信をブロックする隠しルールを作成”] class action_disable_firewall action action_service_stop[“<b>アクション</b> – <b>T1489 サービス停止</b><br/><b>説明</b>: セキュリティサービスを繰り返し停止”] class action_service_stop action action_valid_accounts –>|進行| action_priv_esc action_priv_esc –>|進行| action_impair_defenses action_impair_defenses –>|進行| action_disable_firewall action_impair_defenses –>|進行| action_service_stop
攻撃フロー
シミュレーション実行
前提条件:テレメトリーとベースラインの事前飛行チェックが合格していること。
攻撃のナラティブとコマンド
攻撃者は、既知のEDRクラウドエンドポイントへのすべての発信用トラフィックをブロックするファイアウォールルールを挿入することによって、組織のEDRテレメトリーを無効にすることを目的としています。検出の可能性を高めるために、ルール名は「EDR」という語を明示的に含んでいます。手順は次のとおりです:
- 既知のEDRエンドポイントを列挙する(デモ用にハードコード済み)。
- を作成する ブロックする 「EDR通信をブロックする」という名前の送信トラフィックルール。
- ルールがアクティブであり、EDRドメインへの送信トラフィックがドロップされることを確認します。
- 悪意のあるルール名でEventID 2004が生成されるのを観察し、Sigmaルールがトリガーされることで確認します。
回帰テストスクリプト
# -------------------------------------------------
# シミュレーションスクリプト – 悪意のあるファイアウォールルールを作成
# -------------------------------------------------
# 1. EDRエンドポイントリストを定義(例)
$edrEndpoints = @("edr.contoso.com","logs.edr.contoso.net")
# 2. 各エンドポイント用のアウトバウンドルールを作成
foreach ($host in $edrEndpoints) {
$ruleName = "Block EDR Communications - $host"
New-NetFirewallRule `
-DisplayName $ruleName `
-Direction Outbound `
-RemoteAddress $host `
-Action Block `
-Profile Any `
-Enabled True `
-Protocol Any
Write-Host "Created rule: $ruleName"
}
# 3. 検証用に新規作成したルールのリストを出力
Get-NetFirewallRule -DisplayName "*Block EDR Communications*"クリーンアップコマンド
# -------------------------------------------------
# クリーンアップスクリプト – 悪意のあるファイアウォールルールを削除
# -------------------------------------------------
Get-NetFirewallRule -DisplayName "*Block EDR Communications*" | Remove-NetFirewallRule -Confirm:$false
Write-Host "All malicious EDR blocking rules removed."