Μια συμμορία ransomware εγκαθιστά ευπαθείς drivers GIGABYTE σε υπολογιστές που θέλει να μολύνει. Ο σκοπός αυτών των drivers είναι να επιτρέψουν στους hackers να απενεργοποιήσουν τα προϊόντα ασφαλείας, έτσι ώστε το στέλεχος ransomware τους να μπορεί να κρυπτογραφήσει αρχεία χωρίς να εντοπιστεί ή να σταματήσει.
Αυτή η νέα πρωτότυπη τεχνική έχει εντοπιστεί σε δύο επεισόδια ransomware μέχρι στιγμής, σύμφωνα με την εταιρεία Sophos.
Και στις δύο περιπτώσεις, το ransomware ήταν RobbinHood, ένα στέλεχος ransomware “μεγάλου παιχνιδιού” που χρησιμοποιείται συνήθως σε στοχευμένες επιθέσεις εναντίον επιλεγμένων στόχων υψηλής αξίας.
Σε μια έκθεση που δημοσιεύθηκε, η Sophos περιγράφει αυτή τη νέα τεχνική ως εξής:
- Οι hackers εγκαθιστούν το νόμιμο πρόγραμμα Gigabyte kernel driver GDRV.SYS.
- Οι hackers εκμεταλλεύονται μια ευπάθεια σε αυτό τον driver για να αποκτήσουν πρόσβαση στον πυρήνα.
- Οι επιτιθέμενοι χρησιμοποιούν την πρόσβαση του πυρήνα για να απενεργοποιήσουν προσωρινά το πρόγραμμα «driver signature enforcement» των Windows OS.
- Οι hackers εγκαθιστούν ένα κακόβουλο πρόγραμμα kernel driver που ονομάζεται RBNL.SYS.
- Οι επιτιθέμενοι χρησιμοποιούν αυτό το πρόγραμμα driver για να απενεργοποιήσουν ή να σταματήσουν antivirus προγράμματα και άλλα προϊόντα ασφαλείας που εκτελούνται σε μολυσμένο κεντρικό host.
- Οι hackers εκτελούν το ransomware RobbinHood και κρυπτογραφούν τα αρχεία του θύματος.
Η Sophos αναφέρει ότι αυτή η τεχνική παράκαμψης antivirus λειτουργεί στα Windows 7, Windows 8 και Windows 10.
Αυτή η τεχνική είναι επιτυχημένη λόγω του τρόπου χειρισμού της ευπάθειας στον driver Gigabyte, αφήνοντας ένα κενό που μπορούν να εκμεταλλευτούν οι hackers.
Για αυτήν την απογοήτευση, δύο μέρη ευθύνονται – πρώτα την Gigabyte, και στη συνέχεια το Verisign.
Το σφάλμα του Gigabyte έγκειται στον αντιεπαγγελματικό τρόπο με τον οποίο αντιμετώπισε την αναφορά ευπάθειας για τον πληγέντα driver. Αντί να αναγνωρίσει το πρόβλημα και να απελευθερώσει ένα patch, η Gigabyte ισχυρίστηκε ότι τα προϊόντα της δεν επηρεάστηκαν.
Η απροκάλυπτη άρνηση της εταιρείας να αναγνωρίσει την ευπάθεια οδήγησε τους ερευνητές που βρήκαν το σφάλμα να δημοσιεύσουν δημόσιες λεπτομέρειες σχετικά με αυτό το σφάλμα, μαζί με τον κώδικα proof-of-concept για την αναπαραγωγή της ευπάθειας. Η δημοσίευση του κώδικα έδωσε στους επιτιθέμενους έναν χάρτη πορείας για την εκμετάλλευση του Gigabyte driver.
Όταν δημόσια πίεση ασκήθηκε στην εταιρεία για να διορθώσει τον driver, η Gigabyte επέλεξε να διακόψει την λειτουργία του, αντί να απελευθερώσει ένα patch.
Αλλά ακόμα κι αν η Gigabyte είχε κυκλοφορήσει μια ενημερωμένη έκδοση κώδικα, οι επιτιθέμενοι θα μπορούσαν απλώς να χρησιμοποιήσουν μια παλιότερη ευάλωτη έκδοση του driver. Σε αυτήν την περίπτωση, το signing certificate του driver θα έπρεπε να έχει ανακληθεί, οπότε δεν θα ήταν δυνατή η φόρτωση των παλαιότερων εκδόσεων του driver.
“Η Verisign, της οποίας ο μηχανισμός υπογραφής κώδικα χρησιμοποιήθηκε για την ψηφιακή υπογραφή του οδηγού, δεν έχει ανακαλέσει το πιστοποιητικό υπογραφής, οπότε η υπογραφή Authenticode παραμένει έγκυρη”, ανέφεραν οι ερευνητές της Sophos, εξηγώντας γιατί εξακολουθούσε να είναι δυνατή σήμερα η φόρτωση εώς τώρα ενός καταργημένου και γνωστού, ευάλωτου driver μέσα στα Windows.
Αλλά αν μάθαμε κάτι για τους εγκληματίες στον κυβερνοχώρο είναι ότι οι περισσότεροι από αυτούς αντιγράφουν τις επιτυχημένες τεχνικές άρα και άλλες συμμορίες ransomware αναμένεται να ενσωματώσουν αυτό το τέχνασμα στα οπλοστάσια τους, οδηγώντας σε περισσότερες επιθέσεις.
