54 de programe EDR care utilizează BYOVD pentru a exploata 34 de drivere vulnerabile semnate și a dezactiva securitatea
O nouă analiză a programelor de tip endpoint detection and response (EDR) a relevat că 54 dintre acestea folosesc o tehnică cunoscută sub numele de bring your own vulnerable driver (BYOVD), abuzând un total de 35 de drivere vulnerabile. Programele EDR sunt frecvent utilizate în atacurile ransomware pentru a neutraliza software-ul de securitate înainte de a lansa malware-ul de criptare a fișierelor, conform thehackernews.com.
👉 Rolul programelor EDR în atacurile ransomware și dificultatea detecției
Programele EDR sunt o prezență comună în atacurile ransomware deoarece oferă o modalitate pentru afiliați de a neutraliza software-ul de securitate înainte de a desfășura malware-ul de criptare. Acest lucru se face pentru a evita detectarea. „Găștile ransomware, în special cele cu programe ransomware-as-a-service (RaaS), produc frecvent noi versiuni ale criptatorilor lor, iar asigurarea că fiecare nouă versiune este fiabil nedetectabilă poate fi consumatoare de timp”, a spus cercetătorul ESET, Jakub Souček, într-un raport împărtășit cu The Hacker News. „Mai important, criptatorii sunt în mod inerent foarte zgomotoși (deoarece trebuie să modifice un număr mare de fișiere într-o perioadă scurtă); făcând ca un astfel de malware să fie nedetectat este destul de provocator.”
EDR killer-i funcționează ca un component extern specializat care este activat pentru a dezactiva controalele de securitate înainte de a executa criptatorii, menținându-i astfel simpli, stabili și ușor de reconstruit. Cu toate acestea, au existat cazuri în care modulele de terminare EDR și ransomware au fost fuzionate într-un singur binary. Ransomware-ul Reynolds este un exemplu în acest sens. Majoritatea EDR killer-ilor se bazează pe drivere legitime, dar vulnerabile, pentru a obține privilegii elevate și pentru a-și îndeplini obiectivele. Dintre cele aproape 90 de instrumente EDR detectate de compania de cibernetică slovacă, mai mult de jumătate dintre ele utilizează binecunoscuta tehnică BYOVD, tocmai pentru că este fiabilă.
👉 Mecanismul și impactul atacurilor BYOVD
„Scopul unui atac BYOVD este de a obține privilegii de modul kernel, denumite adesea Ring 0”, explică Bitdefender. „La acest nivel, codul are acces nelimitat la memoria și hardware-ul sistemului. Deoarece un atacator nu poate încărca un driver malițios nesemnat, acesta 'aduce' un driver semnat de un vânzător de încredere (cum ar fi un producător de hardware sau o versiune veche de antivirus) care are o vulnerabilitate cunoscută.” Cu accesul kernel, actorii rău intenționați pot termina procesele EDR, dezactiva instrumentele de securitate, modifica apelurile kernel și submina protecțiile punctelor finale. Rezultatul este un abuz al modelului de încredere al driverelor Microsoft pentru a evita apărarea, profita de faptul că driverul vulnerabil este legitim și semnat.
EDR killer-ii bazati pe BYOVD sunt în principal dezvoltați de trei tipuri de actori rău intenționați - ESET a identificat de asemenea instrumente bazate pe script care folosesc comenzi administrative încorporate precum taskkill, net stop sau sc delete pentru a interveni în funcționarea normală a proceselor și serviciilor produselor de securitate. Variante selectate au fost, de asemenea, găsite combinând scriptingul cu modul de siguranță Windows. „Deoarece modul de siguranță încarcă doar un subset minim al sistemului de operare, iar soluțiile de securitate nu sunt incluse de obicei, malware-ul are o șansă mai mare de a dezactiva protecția”, a notat compania. „În același timp, o astfel de activitate este foarte zgomotoasă, deoarece necesită un reboot, ceea ce este riscant și nesigur în medii necunoscute. Prin urmare, este întâlnită rar în sălbăticie.”
A treia categorie de EDR killer-i sunt anti-rootkits, care includ utilitare legitime precum GMER, HRSword și PC Hunter, ce oferă o interfață intuitivă pentru a termina procesele sau serviciile protejate. O a patra clasă emergentă este un set de EDR killer-i fără drivere, cum ar fi EDRSilencer și EDR-Freeze, care blochează traficul în afara soluțiilor EDR și cauzează ca programele să intre într-o stare asemănătoare unei „comă”. „Atacatorii nu depun mult efort în a-și face criptatorii nedetectabili”, a afirmat ESET. „Mai degrabă, toate tehnicile sofisticate de evitare a detecției s-au mutat pe componentele de utilizator ale EDR killer-ilor. Această tendință este cel mai vizibilă în EDR killer-ii comerciali, care încorporează adesea capacități mature de anti-analiză și anti-detectare.”
Pentru a combate ransomware-ul și EDR killer-ii, blocarea driverelor comune utilizate abuziv la încărcare este un mecanism de apărare necesar. Cu toate acestea, având în vedere că EDR killer-ii sunt executați doar în ultima etapă și chiar înainte de a lansa criptatorul, un eșec în această etapă înseamnă că actorul rău intenționat poate comuta cu ușurință la un alt instrument pentru a realiza aceeași sarcină. Implicația este că organizațiile au nevoie de apărări stratificate și strategii de detecție pentru a monitoriza, semnala, conține și remedia amenințarea în fiecare etapă a ciclului de atac. „EDR killer-ii persistă deoarece sunt ieftini, consistenți și decuplați de criptator - un potrivire perfectă atât pentru dezvoltatorii de criptatori, care nu trebuie să se concentreze pe a-și face criptatorii nedetectabili, cât și pentru afiliații care dețin un utilitar ușor de utilizat și puternic pentru a perturba apărarea înainte de criptare”, a spus ESET.
