C
月内に
GodDamnランサムウェアが、Microsoftによって署名された正当なカーネルドライバーを悪用してセキュリティソフトを無効化する「BYOVD (Bring…
📌 一言でいうと
GodDamnランサムウェアが、Microsoftによって署名された正当なカーネルドライバーを悪用してセキュリティソフトを無効化する「BYOVD (Bring Your Own Vulnerable Driver)」攻撃を仕掛けています。この手法により、攻撃者はOSのカーネルレベルで権限を取得し、EDRなどの防御策を強制的に停止させることが可能です。主に米国の企業が標的となっており、高度な回避策を用いて侵害を拡大させています。
ℹ️ これは他社で発生した事案の情報です。貴社が当該サービスを利用していない場合は、参考情報としてご確認ください。同様の攻撃手法に対する備えのきっかけとしてもご活用いただけます。
🔍該当判定
- Windows OSを搭載したPCやサーバーを社内で利用している
- ウイルス対策ソフトやEDRなどのセキュリティ製品を導入している
- Microsoftが署名したドライバー(カーネルモードドライバー)をシステムにインストールして利用している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
1. 脆弱なドライバーのロードを制限する設定(Windowsのドライバー署名強制やHVCIなど)を有効にする。2. カーネルレベルでの不審なドライバーロードを検知する監視体制を構築する。3. OSおよびセキュリティソフトを最新の状態に保つ。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】GodDamnランサムウェアによるBYOVD攻撃への対応について
お疲れさまです。GodDamnランサムウェアに関する情報共有です。
■ 概要
攻撃者がMicrosoft署名の脆弱なドライバーを意図的にロードさせ、カーネル権限でセキュリティ製品(EDR等)を強制停止させる「BYOVD (Bring Your Own Vulnerable Driver)」手法が観測されています。
■ 影響範囲
- Windows OS 環境(特にカーネルモードドライバーの制限が不十分な環境)
■ 対応手順
1. Windows Defender Application Control (WDAC) や Microsoft Defender for Endpoint の「脆弱なドライバーのブロックリスト」を有効化してください。
2. ハイパーバイザーによるコード整合性 (HVCI/メモリ整合性) を有効にし、未承認のドライバーロードを防止してください。
3. システムログにおいて、不審なドライバーのロードやセキュリティサービスの予期せぬ停止がないか監視を強化してください。
■ 参考情報
- DarkRead: 'GodDamn' Ransomware Uses BYOVD to Smite US Companies
対応優先度: 高
対応期限: 速やかに確認
お疲れさまです。GodDamnランサムウェアに関する情報共有です。
■ 概要
攻撃者がMicrosoft署名の脆弱なドライバーを意図的にロードさせ、カーネル権限でセキュリティ製品(EDR等)を強制停止させる「BYOVD (Bring Your Own Vulnerable Driver)」手法が観測されています。
■ 影響範囲
- Windows OS 環境(特にカーネルモードドライバーの制限が不十分な環境)
■ 対応手順
1. Windows Defender Application Control (WDAC) や Microsoft Defender for Endpoint の「脆弱なドライバーのブロックリスト」を有効化してください。
2. ハイパーバイザーによるコード整合性 (HVCI/メモリ整合性) を有効にし、未承認のドライバーロードを防止してください。
3. システムログにおいて、不審なドライバーのロードやセキュリティサービスの予期せぬ停止がないか監視を強化してください。
■ 参考情報
- DarkRead: 'GodDamn' Ransomware Uses BYOVD to Smite US Companies
対応優先度: 高
対応期限: 速やかに確認
Subject: [Security Alert] GodDamn Ransomware utilizing BYOVD Technique
Dear IT/Security Team,
We are sharing intelligence regarding the GodDamn ransomware campaign.
■ Overview
Attackers are using a 'Bring Your Own Vulnerable Driver' (BYOVD) technique, leveraging a Microsoft-signed driver to gain kernel-level privileges and terminate security software (EDR/AV) to evade detection.
■ Scope
- Windows environments with insufficient kernel-mode driver restrictions.
■ Mitigation Steps
1. Enable the 'Microsoft Vulnerable Driver Blocklist' via Windows Defender Application Control (WDAC) or Microsoft Defender for Endpoint.
2. Ensure Hypervisor-Protected Code Integrity (HVCI / Memory Integrity) is enabled to prevent the loading of malicious drivers.
3. Increase monitoring for unauthorized driver loads and unexpected termination of security services in system logs.
■ Reference
- DarkRead: 'GodDamn' Ransomware Uses BYOVD to Smite US Companies
Priority: High
Deadline: Immediate review
Dear IT/Security Team,
We are sharing intelligence regarding the GodDamn ransomware campaign.
■ Overview
Attackers are using a 'Bring Your Own Vulnerable Driver' (BYOVD) technique, leveraging a Microsoft-signed driver to gain kernel-level privileges and terminate security software (EDR/AV) to evade detection.
■ Scope
- Windows environments with insufficient kernel-mode driver restrictions.
■ Mitigation Steps
1. Enable the 'Microsoft Vulnerable Driver Blocklist' via Windows Defender Application Control (WDAC) or Microsoft Defender for Endpoint.
2. Ensure Hypervisor-Protected Code Integrity (HVCI / Memory Integrity) is enabled to prevent the loading of malicious drivers.
3. Increase monitoring for unauthorized driver loads and unexpected termination of security services in system logs.
■ Reference
- DarkRead: 'GodDamn' Ransomware Uses BYOVD to Smite US Companies
Priority: High
Deadline: Immediate review