このようにして、ハッカーはここからあらゆる種類の資格情報にアクセスし、レドモンドオペレーティング システムをベースとするあらゆる PC またはサーバーにほぼ完全にアクセスできるようになります。これを行うには、攻撃者は問題のコンピュータに対するローカル管理者権限を取得し、アクセス権を取得したら、システム レジストリを変更して「セーフ モード」で強制的に再起動する必要があります。
実際、攻撃者が感染したコンピュータのローカル管理者権限を取得すると、リモートからセーフ モードを起動して、システム全体のセキュリティ対策をバイパスおよび変更できると言われています。このように、「セーフ モード」は、サイバー犯罪者がインストールされたツールを「自由に実行」し、検出されることなくあらゆる種類の資格情報を盗むための完璧なゲートウェイになります。さらに、 VSM (Microsoft の Virtual Secure Module) が存在するにもかかわらず、これはWindows 10でも動作すると述べています。
「セーフ モード」では、システムの動作に重要なソフトウェアやドライバーが起動されないことに注意してください。そのため、ほとんどのセキュリティ対策が有効になっていないため、このようにリモートで再起動を強制すると、攻撃者はこのシステムにアクセスして自由に操作できるようになります。研究者らは、通常のブートを模倣した偽のログイン画面を使用し、セーフ モードを偽装し、ユーザーが疑わずに資格情報を入力できるようにする、このタイプのセキュアブートを使用したいくつかのテスト攻撃を開発しました。
攻撃者は、「 explorer.exe 」に読み込まれる悪意のあるオブジェクトを使用して、コマンドの実行と同時にそのコードを実行できるようにする可能性があります。これにより、被害者がPCまたはサーバーを再起動するたびに攻撃が自動的に実行されます。マシンがセーフ モードで起動したら、レジストリ キーにアクセスして設定を変更し、インストールされているセキュリティ ソリューションの動作を無効にすることができます。したがって、悪意のあるツールは、以前に定義されたセキュリティ標準に違反していないため、アラームがアクティブになることなく、後で通常のブート モードで実行されることになります。