dark-kill:EDRプロセスを永続的に終了させるユーザーモードコードとルートキット

Security
dark-kill:EDRプロセスを永続的に終了させるユーザーモードコードとルートキット

dark-kill:EDRプロセスを永続的に終了させるユーザーモードコードとルートキット

dark-killは、プロセス作成ブロッキングカーネルコールバックルーチンの登録とZwTerminateProcess関数を活用し、EDR(Endpoint Detection and Response)プロセスを恒久的に終了させることを目的としたユーザーモードコードとそのルートキットです。C++で実装されており、セキュリティ対策の回避を目指す高度な技術が盛り込まれています。

https://github.com/SaadAhla/dark-kill

概要

dark-killは、Windows環境においてEDR(Endpoint Detection and Response)プロセスを永続的に停止させるために設計されたユーザーモードコードとルートキットのセットです。主に、プロセス作成時のカーネルコールバックルーチンを登録して不正プロセスの生成をブロックしつつ、ZwTerminateProcess関数を用いてターゲットとなるEDRプロセスを直接終了させる手法を採用しています。このアプローチにより、セキュリティ製品の監視や介入を回避し、より深いシステム制御を可能にしています。C++で書かれており、セキュリティ研究や攻撃手法の理解に役立つリポジトリです。

GitHub

主な特徴

  • プロセス作成ブロッキング用のカーネルコールバックルーチンを登録し、EDR関連プロセスの新規生成を防止
  • ZwTerminateProcess関数を活用し、対象EDRプロセスをユーザーモードから確実に終了させる
  • ルートキットとして動作し、検知や対策を困難にする高度な隠蔽技術を実装
  • C++による効率的な実装で、Windowsの内部仕組みに密接に連携

技術的なポイント

dark-killは、Windowsのプロセス管理やカーネルモードとユーザーモードのインタラクションに関する深い知識を活かしたツールです。まず、プロセス作成ブロッキングのためにカーネルコールバックルーチンを登録する点が特徴的です。Windowsカーネルは、プロセス生成時に登録されたコールバック関数を呼び出し、そこで新規プロセスの生成を制御できます。dark-killはこの仕組みを利用し、EDRプロセスや関連するセキュリティツールの起動を阻害することで、システムの監視を回避します。

さらにZwTerminateProcessは、WindowsのネイティブAPIの一部で、指定したプロセスを終了させるために用いられます。通常、プロセス終了はユーザーモードのAPIやサービスを通じて行われますが、ZwTerminateProcessを使うことで、より直接的かつ柔軟にプロセスの終了を制御可能です。dark-killはこれをユーザーモードから呼び出し、ターゲットとなるEDRプロセスを強制的に停止させます。

ルートキット的な側面も重要です。ルートキットはOS内部に潜伏し、検知を難しくする手法群を指します。dark-killは単なるプロセス終了ツールではなく、カーネルコールバックを駆使して新たなEDRプロセスの起動を妨害し、かつ自身の存在を隠蔽することで、持続的にシステム制御を保持します。これにより、通常のセキュリティソフトウェアでは発見が困難になるため、攻撃者にとっては非常に有効な攻撃基盤となります。

実装はC++で行われており、Windows APIやカーネルAPIとの連携がスムーズに行われるよう設計されています。C++の高性能と柔軟性を活かし、低レベルな操作を効率的に実装しています。コードはGitHub上で公開されており、セキュリティ研究者やマルウェア分析者にとって、EDR回避技術やルートキットの動作原理を理解する上で貴重なリソースとなっています。

総じてdark-killは、Windowsのプロセス管理機構とカーネルのコールバック機能を巧みに利用し、EDR対策を恒久的に突破することを目指した高度なツールです。これにより、標準的な防御策を無効化できるため、攻撃者にとっては強力な攻撃手段となる一方、セキュリティコミュニティにとっては防御策の改善や検知技術開発のきっかけとなる重要な研究対象です。

まとめ

EDR回避とルートキット技術を組み合わせた強力なプロセス制御ツールです。