SOMPO CYBER SECURITY
BYOVD攻撃は、Bring Your Own Vulnerable Driver攻撃の略です。私物のPCやモバイル機器を利用し業務を行うBYOD(Bring Your Own Device)になぞらえて命名されています。
BYOVD攻撃では、脆弱性を持つ正当なドライバを侵害したマシン上に配送等して悪用し、OSのカーネルを用いて攻撃を行います。
ドライバは、ハードウェアや周辺機器を制御するためのプログラムであり、高い権限で実行されます。このため、ドライバの脆弱性を悪用し、EDRなどのセキュリティ製品を無効化する手法が多数のAPTやランサムウェアによって用いられています。
ドライバの脆弱性悪用に際しては、不正入手した正当なコード署名が用いられるケースがあります。
北朝鮮のハッカー部隊Lazarusや、ロシアAPT、またBlackByteランサムウェアなどがBYOVD攻撃を行っていることが確認されています。
また、Cubaランサムウェアも複数のアカウントを利用してMicrosoftハードウェア開発者プログラムの署名を入手し、悪性ドライバーに当該署名を付与することで、セキュリティ製品無効化等に悪用していると報道されています。
脅威インテリジェンスサービスCognyteは、ダークウェブやTelegram、SNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、組織のサイバー・リスクを軽減させるサービスです。 Cognyte CTI Research Group@Cognyte | 2024年4月 2024.4.17追記本記事公開後、当該脆弱性の悪用条件等の更新が行われています。最新の情報はP...
脅威インテリジェンスサービスCognyteは、ダークウェブやTelegram、SNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、組織のサイバー・リスクを軽減させるサービスです。 Cognyte CTI Research Group@Cognyte | 2024年3月 先般、自称ハクティビストグループであるAnonymous Sudanが新DDoS攻撃サービス「I...
2021年7月 イスラエルにあるSOMPO Digital Lab Tel Aviv内に発足したサイバーチームが発信するニュースレターを紹介します。今回のニュースレターでは、Webアプリケーションスキャナーを比較・検討する際に、実際に用いた手順を紹介します。 Max Cohen@SOMPO Digital Lab Tel Aviv | 2024年2月 記事に関するご意見・お問い合わせはこちらへお寄...
脅威インテリジェンスサービスCognyteは、ダークウェブやTelegram、SNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、組織のサイバー・リスクを軽減させるサービスです。 Cognyte CTI Research Group@Cognyte | 2024年2月 2024年2月、ロシア語のダークウェブ・フォーラムXSSにおいてBeastランサムウェアの宣伝投...