たむ

【EDR回避ツール】セキュリティ研究者Ryan Framiñánが開発したオープンソースツール「SilentButDeadly」が公開された。このツールはEDRおよびアンチウイルスソフトウェアのネットワーク通信を遮断し、クラウド接続を無力化する。 SilentButDeadlyはWindows Filtering Platform（WFP）を活用し、EDRのクラウド接続に対して一時的な双方向ブロックを作成する。プロセスを終了させずに脅威を隔離する点が特徴である。2023年に発表されたEDRSilencer技術を基盤とし、動的で自己クリーニング機能を持つフィルターにより運用の安全性を向上させている。 現代のEDRアーキテクチャはリアルタイム分析とアップデートにクラウドベースのテレメトリに依存している。本ツールはアウトバウンドのデータアップロードとインバウンドのコマンド受信を防ぐことで、リモート管理と脅威インテリジェンス共有を無効化する。セキュリティプロセスを破壊する攻撃的な回避手法とは異なり、ステルス性の高いネットワーク隔離に焦点を当てている。 実行フェーズは管理者権限の検証から始まり、実行中のプロセスをスキャンしてSentinelOneやMicrosoft DefenderなどのEDRターゲットを特定する。GitHubで公開されており、EDR依存性に関する議論を喚起している。 https://t.co/2k34J2Da90

🇯🇵Well done, Japan: a lesson in clear and proactive cyber communication As many of you have noticed, in recent months there has been a worrying increase in cyberattacks targeting Japanese companies, both from organized cybercriminal groups and independent hackers. However, this unfortunate trend has also shown how remarkably Japan is handling cybersecurity communication. Companies are demonstrating an excellent approach by informing the public quickly, clearly, and transparently about the incidents they face, often sharing technical details on how the attack occurred. This level of openness not only helps stakeholders stay informed but also contributes to raising cybersecurity awareness across the entire corporate ecosystem, encouraging other organizations to strengthen their defenses. One notable example is Mino Kogyo Co., Ltd., a manufacturing company that not only disclosed the incident but also provided a detailed timeline and clear explanation of how it unfolded. Even though no company can be completely immune to cyber threats, this kind of transparency and responsibility can significantly reduce the overall impact of an attack and help the entire community learn and improve. Well done, Japan. Hackmanac Team

【EDR回避技術】セキュリティ研究者TwoSevenOneTが開発したEDR-Redir V2ツールが、Windows 11のバインドリンク技術を悪用してWindows DefenderなどのEDRシステムを無力化する新手法を実証した。親ディレクトリレベルでリダイレクションループを作成し、正規アプリケーションの動作を妨げることなくセキュリティソフトを盲目状態にする。 従来のEDR-Redirは直接的なフォルダリダイレクションを使用していたが、保護機能により阻止されることが多かった。V2では、サブフォルダを自身にループバックさせながら、EDRのパスのみを隔離して操作する方式に進化した。この技術は、Windows 11 24H2で導入されたbindflt.sysドライバを利用し、カーネル権限なしでファイルシステム名前空間のリダイレクションを可能にする。 攻撃の仕組みは巧妙である。EDR-Redir V2はProgram Filesなどの親ディレクトリ内のすべてのサブフォルダを調査し、C:\TMP\TEMPDIRのような制御されたディレクトリにミラーリングする。これらのミラーと元のフォルダ間に双方向バインドリンクを確立し、EDR以外のソフトウェアの正常なアクセスを維持するループを形成。一方、Windows DefenderのC:\ProgramData\Microsoft\Windows Defenderなど、EDRの特定サブフォルダはループから除外され、攻撃者のTEMPDIRのみにリダイレクトされる。 Windows 11での実証では、EDR-Redir.exe C:\ProgramData\Microsoft c:\TMP\TEMPDIR "C:\ProgramData\Microsoft\Windows Defender"のパラメータで実行。実行後、DefenderはTEMPDIRを通じてループし、元のファイルにアクセスできなくなり、DLLハイジャッキングや悪意あるコンポーネントのロードが可能となった。この手法の単純さと効果により、企業環境での悪用リスクが懸念されている。 https://t.co/GexfFcXU9r

日経の記事「ランサムウエア攻撃、その時社内は？」で、A社の問題は攻撃されたことではなく、感情的に「交渉も身代金も払わない」と即断し、主導権を奪う可能性をすべて失いました。本来、交渉とは支払いの是非ではなく、時間と情報を制御する戦略的プロセスです。 https://t.co/iVRCTsa4W7 A社が行うべきだったのは、拒否ではなく、ガバナンスの確立です。交渉を悪と捉えるのではなく、リスクマネジメントの一部です。 正義よりもガバナンスを。感情ではなくインテリジェンスで戦うことが求められます。 ■組織統制の欠如 → 「誰が交渉すべきか」の構造的空白 A社の状況： ・感染確認後、情報システム部の若手と部長が動揺し、初動判断が属人的 ・経営層（社長）は「交渉しない」と即断 ・専門家・法務・外部交渉担当の関与なし 対策： ・「交渉の有無」を経営単独で決めるのではなく、法務と技術・交渉の三層統制で意思決定する必要性が明確 ・攻撃者の出方を見るだけでなく、対話のチャンネルを管理することで主導権確保につながる ・A社の混乱は、交渉拒否による情報遮断と心理的防御崩壊の結果といえる ・時間を稼ぐ（情報公開の遅延）戦術が実装されていれば、 　- PR／法務対応の整理 　- 顧客・社員保護措置の先行 　- バックアップ確認 が可能だった。交渉による数日〜数週間の猶予確保が、被害軽減の決定打になったと考えられる。 ■情報真偽の検証・DFIR連携の欠落 A社の状況： ・「犯罪集団が本当に何を盗んだか」がわからず、後から暴露されて初めて知る。 ・DFIR（デジタルフォレンジック）の関与が遅れた。 対策： ・情報真偽の検証フェーズ（ハッシュ・メタデータ検証、クロスリファレンス）必要 ・攻撃者提示の情報を精査せずに動くことが、二次被害（社員口座流出）に直結している。 ・交渉とフォレンジックの並走がなければ、状況認識が常に後追いになる。

Active Directoryのドメイン参加用アカウントが、管理者がMicrosoftの指針に従っていても企業環境の侵害経路となっていることが判明した。調査によれば、これらのアカウントは初期設定で過剰な権限を持ち、攻撃者にドメイン支配権を与える恐れがある。 ドメイン参加アカウントはPCをドメインに追加する権限を持つが、OS展開時に平文パスワードがPXEやunattend.xml、MDT構成などに含まれるため、内部ネットワーク上の攻撃者が容易に入手可能である。さらに、このアカウントが作成したコンピュータオブジェクトの所有権を通じ、LAPSパスワード窃取やRBCD悪用、Shadow Credentials攻撃が行える。対策として、①MachineAccountQuotaを0に設定、②LAPS属性へのRead権限を拒否、③RBCD用GUIDへのWrite権限を拒否することが推奨される。Microsoftは2025年8月にようやく正式ガイダンスを公表したが、恒常的な権限管理が依然不可欠である。 https://t.co/k0OPGNfd1n