Windows Server 2016に対して、アンチウイルスドライバを強制終了させるマルウェア攻撃が行われました。
攻撃者は「ntoskrl-l」コマンドを使用して、カーネル関数の実行に使用されるカーネルアドレスの読み書きを行いました。
このマルウェアは、VirusRansomwareによって暗号化されたプロセスを含む、他の複数のプロセスも強制終了させました。
注目すべきは、この攻撃は2018年にはまだ検出されていなかったものの、複数のマシンにインストールされていたことが判明したことです。
破壊のドライバー:正規のドライバーがアンチウイルスプロセスを停止させるためにどのように利用されているか from securelist.com
security summaryWindows Server 2016に対して、アンチウイルスドライバを強制終了させるマルウェア攻撃が行われました。
攻撃者は「ntoskrl-l」コマンドを使用して、カーネル関数の実行に使用されるカーネルアドレスの読み書きを行いました。
このマルウェアは、VirusRansomwareによって暗号化されたプロセスを含む、他の複数のプロセスも強制終了させました。
注目すべきは、この攻撃は2018年にはまだ検出されていなかったものの、複数のマシンにインストールされていたことが判明したことです。
コメント