-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
10月16日:サイバーセキュリティ関連ニュース
EDRSilencer:EDR無効化するレッドチームツールがサイバー犯罪者らの武器に
Securityonline[.]info – October 15, 2024
レッドチーム向けに設計されたEDRソリューション妨害用ツール「EDRSilencer」が、サイバー犯罪者たちによって悪意ある目的で使われるようになっているという。トレンドマイクロの脅威ハンティングチームが報告した。
EDRSilencerは、Windows フィルタリング プラットフォーム(WFP)を利用してEDR製品に関連するプロセスからのネットワーク通信を阻害し、EDRのマルウェア特定・排除能力を奪うことのできるオープンソースツール。本来はレッドチームによる利用を想定したもので、EDRシステム内の脆弱性を炙り出し、解消する目的で使われる。しかしすでに、脅威アクターらが自らの攻撃が検知されるのを避けるためにこのツールを悪用し始めているという。
EDRSilencerは、同ツール内にハードコードされたリスト上の実行ファイルによるトラフィックをブロックする仕様になっており、これには以下のツールの実行ファイル(プロセス)が含まれる。
- Cisco Secure Endpoint(旧 AMP for Endpoints):sfc.exe
- FortiEDR:fortiedr.exe
- Microsoft Defender for Endpoint、Microsoft Defender ウイルス対策:MsMpEng.exe、MsSense.exe、SenseIR.exe、SenseNdr.exe、SenseCncProxy.exe、SenseSampleUploader.exe
- Palo Alto Networks Traps/Cortex XDR:Traps.exe、cyserver.exe、CyveraService.exe、CyvrFsFlt.exe
- SentinelOne:SentinelAgent.exe、SentinelAgentWorker.exe、SentinelServiceHost.exe、SentinelStaticEngine.exe、LogProcessorService.exe、SentinelStaticEngineScanner.exe、SentinelHelperService.exe、SentinelBrowserNativeHost.exe など
ただ、トレンドマイクロの分析・テストにより、リスト上にないEDRプロセスであっても、それに対するフィルターを追加することでEDR管理コンソールへのログ送信を阻害できることがわかっている。サイバー犯罪者らがこの手法を利用すれば、検出を避けて密かに活動することが可能となり、侵害を成功させられる可能性が高まることになる。
EDRSilencerが悪用され始めたというニュースは、レッドチーム用ツールが不正な目的で転用されるという危険なトレンドを体現している。トレンドマイクロはセキュリティ上の推奨策として、以下の4点を共有した:
①多層型のセキュリティコントロール:
- ネットワークセグメンテーション
- 深層防御
②エンドポイントセキュリティの強化:
- 行動分析
- アプリケーションホワイトリスティング
③継続的なモニタリングおよび脅威ハンティングの実施
④強力なアクセスコントロール:
- 最小権限の原則に従う
人気プラグインGiveWPに重大なRCE脆弱性、10万以上のWordPressサイトにリスク:CVE-2024-9634(CVSS 9.8)
Securityonline[.]info – October 15, 2024
人気のWordPress向け寄付プラグイン「GiveWP」に、CVSSスコア9.8の重大なRCE脆弱性CVE-2024-9634が存在。10月15日に開示・修正されたこのPHPオブジェクトインジェクションの脆弱性は、認証されていない攻撃者による脆弱なWebサイト上での任意コード実行を可能にし得るもので、最悪の場合は寄付者の機微データを侵害されたり、サイトを完全に乗っ取られたりする恐れがあるという。
脆弱性の根本原因は、同プラグインが「give_company_name」パラメーターを不適切に処理する点。これにより攻撃者は悪意あるPHPオブジェクトを注入できるようになり、これを既存のPOPチェーンと組み合わせることでリモートコード実行を達成可能だとされる。
GiveWPは10万以上のアクティブインストール数を誇る人気のプラグインであることから、今回の脆弱性はかなりの数のWebサイトを危険に晒すことが考えられる。すべてのGiveWPユーザーには、迅速に修正版である3.16.4へのアップデートを行い、リスクを軽減することが強く推奨されている。
ランサムウェアレポート無料配布中!
以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。
<レポートの主なトピック>
- 主なプレーヤーと被害組織
- データリークと被害者による身代金支払い
- ハクティビストからランサムウェアアクターへ
- 暗号化せずにデータを盗むアクターが増加
- 初期アクセス獲得に脆弱性を悪用する事例が増加
- 公に報告された情報、および被害者による情報開示のタイムライン
- ランサムウェアのリークサイト – ダークウェブ上での犯行声明
- 被害者による情報開示で使われる表現
- ランサムウェアに対する法的措置が世界中で増加
- サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
- 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠
関連投稿
新たに見つかった中国産スパイウェアEagleMsgSpy、中国の警察などが2017年から使用か
12.12.2024
WPMLプラグインにコード実行の脆弱性、100万以上のWordPressサイトが利用(CVE-2024-6386)
28.08.2024
WordPress人気プラグインに重大な脆弱性 10万サイトに乗っ取りのリスク:CVE-2024-5932
21.08.2024
WordPressの人気プラグインに重大な欠陥、1万超のWebサイトに攻撃リスク(CVE-2024-6500)
19.08.2024
WindowsにNTLM認証情報の窃取可能にする新たなゼロデイ、非公式パッチがリリース
09.12.2024
