日々進化するサイバー脅威の中で、セキュリティ・ツールは常に悪意ある行為者に狙われている。その典型的な例が、Spyboyとして知られる脅威行為者によって宣伝されているマルウェア対策キラー「Terminator」だ。ロシア語圏のハッキング・フォーラムで宣伝されているこのツールは、Windows 7以降を実行しているデバイス上で、Windows Defenderを含む24種類のセキュリティ・ソリューションをバイパスして、あらゆるアンチウイルス、XDR、EDRプラットフォームを終了させると主張している。
しかし、よく調べてみると、ターミネーター・ツールは無敵の脅威ではありません。他の BYOD(Bring Your Own Driver)攻撃と同様のメカニズムを利用するターミネーター・ツールは、OPSWAT MetaDefender Access のようなエンドポイント・セキュリティ管理およびセキュア・アクセス・ソリューションで防ぐことができます。OPSWAT MetaDefender Accessに関連する包括的なエンドポイント・コンプライアンス・チェックの一部には、マルウェア対策ツールの監視と、エンドポイント・デバイスがスキャンされているかどうかの確認が含まれる。
ターミネーター・アンチウイルス・キラーの仕組み
このツールの核心は、影響を受けるエンドポイントに脆弱なドライバをインストールし、その脆弱性を悪用することである。Terminatorを動作させるには、対象となるWindowsシステムの管理者権限が必要である。まずユーザーを欺いてユーザーアカウント制御(UAC)のポップアップを受け入れさせ、システムフォルダーに正規の署名付きマルウェア対策カーネルドライバーをインストールする管理者権限を与える。その後、悪意のあるドライバはカーネルレベルの特権を活用し、デバイス上で実行されているAVおよびEDRソフトウェアのユーザーモードプロセスを停止させます。
この種の攻撃は、BYOVD(Bring Your Own Vulnerable Driver)攻撃として知られ、脅威行為者の間で流行している。最近のBYOVD攻撃はターミネーターだけではない。最近のBlackByteランサムウェア攻撃も同じ攻撃パターンを踏襲しており、欠陥のあるドライバを悪用して高レベルの特権を獲得していた。また、2022年第3四半期には、Genshin Impactのアンチチート・ドライバーを悪用してアンチウイルス・プログラムを殺す攻撃も発生している。これらの攻撃はすべて、正規のドライバーでさえ完全に信頼できるわけではないという憂慮すべき現実を指し示している。
MetaDefender アクセス最も包括的なZTNAソリューション
このように急増している脅威に対抗するには、機密性の高いアプリケーションにアクセスする前に、すべてのデバイスのセキュリティ・ポスチャーを監視・制御できるソリューションを採用することが極めて重要です。
MetaDefender Accessのようなソリューションを導入することで、企業はデバイスのセキュリティ・ポスチャをプロアクティブに監視・制御できる。これにより、Terminator のような一見正当なツールが害を及ぼす前に検出することができ、すべてのデバイスが必要なセキュリティ制御とコンプライアンス標準を維持できるようになります。MetaDefender Accessはまた、マルウェア対策ツールが適切に実行されているかどうか、エンドポイントデバイスがスキャンされたかどうかを監視することもできます。
さらに、MetaDefender Accessは、すべてのネットワーク接続とエンドポイントデバイスがリアルタイムで適切に可視化、許可、ブロックされることを保証するNetwork Access Control NACソリューションも提供します。MetaDefender NAC、ターミネータのようなセキュリティインシデントに関連する脅威を大幅に減らすことができます。
MetaDefender NAC は、ネットワークに接続するすべてのデバイスに対して、エージェントレスでの識別、プロファイリング、アクセス制御を提供します。インライン・ネットワーク・デバイス、既存のアイデンティティ・アクセス管理ツール、およびデバイス自体から情報を引き出します。
MetaDefender Access を使用すると、新しいユーザーとデバイスのリアルタイム検出、デバイスが企業および規制基準を満たしていることを確認するコンプライアンスチェック、迅速な反応と深刻なアラートに対するリアルタイムの隔離のための双方向のセキュリティツール統合などが可能になります。また、エージェントレスおよびエージェントベースの分析を通じてデバイス・インテリジェンスを提供し、サードパーティのセキュリティ・ツールからのアラートに対応してシステムを隔離することができます。
当社のソリューションの詳細については、当社のセキュリティ専門家にお問い合わせください。
