BlackByte ransomware: Χρησιμοποιεί την νέα τεχνική BYOVD

Η συμμορία ransomware BlackByte χρησιμοποιεί μια νέα τεχνική που οι ερευνητές αποκαλούν “Bring Your Own Driver”, η οποία επιτρέπει την παράκαμψη των προστασιών απενεργοποιώντας περισσότερους από 1.000 drivers που χρησιμοποιούνται από διάφορες λύσεις ασφαλείας.

Δείτε επίσης: Optus παραβίαση δεδομένων: Συνελήφθη άνδρας που εκβίαζε πελάτες της εταιρείας

Οι πρόσφατες επιθέσεις που αποδίδονται σε αυτήν την ομάδα αφορούσαν μια έκδοση του driver MSI Afterburner RTCore64.sys, η οποία είναι ευάλωτη σε ένα ελάττωμα κλιμάκωσης προνομίων και εκτέλεσης κώδικα που παρακολουθείται ως CVE-2019-16098.

Η εκμετάλλευση του ζητήματος ασφαλείας επέτρεψε στην BlackByte να απενεργοποιήσει τους drivers που εμποδίζουν την κανονική λειτουργία του detection and response (EDR) πολλαπλών σημείων και των προϊόντων antivirus.

Η μέθοδος “Bring Your Own Vulnerable Driver” (BYOVD) είναι αποτελεσματική επειδή οι ευάλωτοι drivers είναι υπογεγραμμένοι με έγκυρο πιστοποιητικό και εκτελούνται με υψηλά προνόμια στο σύστημα.

Δύο αξιοσημείωτα πρόσφατα παραδείγματα επιθέσεων BYOVD περιλαμβάνουν την κατάχρηση που έκανε η ομάδα Lazarus σε ένα buggy πρόγραμμα οδήγησης Dell και άγνωστους χάκερ που κάνουν κατάχρηση ενός anti-cheat driver/module για το παιχνίδι Genshin Impact.

Δείτε επίσης: Avast: Εργαλείο αποκρυπτογράφησης για το Hades ransomware

Λεπτομέρειες της επίθεσης

Ερευνητές ασφαλείας στην εταιρεία κυβερνοασφάλειας Sophos εξηγούν ότι το MSI graphics driver που έχει γίνει abused προσφέρει κωδικούς ελέγχου I/O άμεσα προσβάσιμους από διαδικασίες λειτουργίας χρήστη, κάτι που παραβιάζει τις οδηγίες ασφαλείας της Microsoft για την πρόσβαση στη μνήμη του kernel.

Αυτό δίνει τη δυνατότητα στους εισβολείς να διαβάζουν, να γράφουν ή να εκτελούν κώδικα στη μνήμη του πυρήνα χωρίς να χρησιμοποιούν shellcode ή exploit.

Στο πρώτο στάδιο της επίθεσης, το BlackByte προσδιορίζει την έκδοση του kernel για να επιλέξει τα σωστά offsets που ταιριάζουν με το ID του kernel.

Στη συνέχεια, το RTCore64.sys γίνεται drop στο “AppData\Roaming” και δημιουργεί μια υπηρεσία χρησιμοποιώντας ένα κωδικοποιημένο όνομα και ένα τυχαία επιλεγμένο, όχι και τόσο διακριτικό εμφανιζόμενο όνομα.

Στη συνέχεια, οι εισβολείς εκμεταλλεύονται την ευπάθεια του driver για να αφαιρέσουν τα Kernel Notify Routines που αντιστοιχούν σε διαδικασίες εργαλείων ασφαλείας.

Οι ανακτημένες διευθύνσεις callback χρησιμοποιούνται για την εξαγωγή του αντίστοιχου driver name  και συγκρίνονται με μια λίστα 1.000 στοχευμένων driver που υποστηρίζουν τη λειτουργία των εργαλείων AV/EDR.

Δείτε επίσης: Οι Anonymous και άλλες ομάδες hacking βοηθούν τους διαδηλωτές στο Ιράν με κυβερνοεπιθέσεις

Τυχόν αντιστοιχίσεις που βρέθηκαν σε αυτό το στάδιο καταργούνται αντικαθιστώντας το στοιχείο που περιέχει τη διεύθυνση της συνάρτησης επανάκλησης με μηδενικά, οπότε ο στοχευμένος driver ακυρώνεται.

Η Sophos υπογραμμίζει επίσης διάφορες μεθόδους που χρησιμοποιεί η BlackByte σε αυτές τις επιθέσεις για να αποφύγει την ανάλυση από τους ερευνητές ασφαλείας, όπως η αναζήτηση ενδείξεων ενός προγράμματος εντοπισμού σφαλμάτων που εκτελείται στο σύστημα στόχο και η έξοδος.

Το BlackByte malware ελέγχει και για μια λίστα με συνδεδεμένα DLL που χρησιμοποιούνται από τα Avast, Sandboxie, Windows DbgHelp Library και Comodo Internet Security και τερματίζει την εκτέλεσή του εάν βρεθεί.

Οι διαχειριστές συστήματος μπορούν να σας προστατεύσουν από το νέο τέχνασμα παράκαμψης ασφαλείας του BlackByte προσθέτοντας τον συγκεκριμένο MSI driver σε μια ενεργή λίστα αποκλεισμού.

Επιπλέον, οι διαχειριστές θα πρέπει να παρακολουθούν όλα τα driver installation events και να τα ελέγχουν συχνά για να βρίσκουν τυχόν απατεώνες που δεν έχουν αντιστοιχία hardware.

Πηγή πληροφοριών: bleepingcomputer.com