Ο απειλητικός παράγοντας με οικονομικά κίνητρα Scattered Spider, παρατηρήθηκε να προσπαθεί να αναπτύξει Intel Ethernet diagnostics drivers σε μια επίθεση BYOVD (Bring Your Own Vulnerable Driver) για να αποφύγει τον εντοπισμό από προϊόντα ασφαλείας EDR (Endpoint Detection and Response).
Δείτε επίσης: Royal Mail: Αναστέλλει τις διεθνείς υπηρεσίες της λόγω κυβερνοεπίθεσης
Η τεχνική Bring Your Own Vulnerable Driver (BYOVD) αξιοποιεί έναν kernel-mode driver με γνωστά exploits για να αποκτήσει υψηλότερα προνόμια σε συστήματα Windows και να εξαπολύσει κακόβουλες επιθέσεις.
Δεδομένου ότι οι drivers συσκευών έχουν άμεση πρόσβαση στον πυρήνα ενός λειτουργικού συστήματος, οι κακόβουλοι φορείς μπορούν να εκμεταλλευτούν τυχόν ευπάθειες για να εκκινήσουν κώδικα με αυξημένα προνόμια σε ένα μηχάνημα Windows.
Αμέσως μετά την κυκλοφορία της πιο πρόσφατης έκθεσης της Crowdstrike για την Scattered Spider στις αρχές του περασμένου μήνα, η εταιρεία παρατήρησε μια μοναδική νέα στρατηγική.
Όπως αναφέρεται στην πιο πρόσφατη έκθεση της Crowdstrike, κακόβουλοι φορείς επιχείρησαν να διεισδύσουν στο Microsoft Defender for Endpoint, στο Palo Alto Networks Cortex XDR και στο SentinelOne χρησιμοποιώντας την τεχνική Bring Your Own Vulnerability Defense (BYOVD).
Δείτε επίσης: Twitter για διαρροή email χρηστών: “Δεν κλάπηκαν από τα συστήματά μας”
Απενεργοποίηση προϊόντων ασφαλείας
Σύμφωνα με την CrowdStrike, η ομάδα hacking Scattered Spider εντοπίστηκε να προσπαθεί να κάνει χρήση μιας επικίνδυνα υψηλού επιπέδου ευπάθειας CVE-2015-2291 στον Ethernet diagnostics driver της Intel. Εάν αξιοποιηθεί επιτυχώς, το σφάλμα αυτό θα μπορούσε να επιτρέψει σε κακόβουλους φορείς να αποκτήσουν προνόμια kernel και να εκτελέσουν αυθαίρετο κώδικα σε ένα μολυσμένο μηχάνημα.
Εκμεταλλευόμενοι την ευπάθεια που διορθώθηκε το 2015, αλλά εξακολουθεί να υπάρχει σε παλαιότερες εκδόσεις συσκευών που έχουν παραβιαστεί, οι χάκερ μπορούν να παρακάμψουν τυχόν ενημερώσεις που έχουν εφαρμόσει τα θύματα στο σύστημά τους. Αυτό τους επιτρέπει να επωφεληθούν από αυτό το ελάττωμα και να αποκτήσουν πρόσβαση ανεξάρτητα από τις επιδιορθώσεις που έχουν εγκατασταθεί.
Το Scattered Spider λειτουργεί με έναν ελαφρύ 64-bit kernel driver που περιέχει 35 λειτουργίες, οι οποίες είναι ψηφιακά υπογεγραμμένες από πιστοποιητικά που έχουν κλαπεί από αξιόπιστες πηγές όπως η NVIDIA και η Global Software LLC. Με αυτόν τον τρόπο, τα Windows είναι σε θέση να αποφύγουν τον αποκλεισμό του.
Οι χάκερ εκμεταλλεύονται αυτούς τους παράγοντες για να απενεργοποιήσουν τις λύσεις ασφάλειας endpoint και να ελαχιστοποιήσουν την ορατότητα των defenders, δημιουργώντας έτσι ένα ιδανικό περιβάλλον για περαιτέρω στάδια των επιθέσεών τους σε στοχευμένα δίκτυα.
Κατά την εκκίνηση, ο driver αποκρυπτογραφεί ένα hard-coded string στοχευμένων προϊόντων ασφαλείας και διορθώνει τους στοχευμένους drivers σε hard-coded offsets.
Δείτε επίσης: H Cisco προειδοποιεί για κρίσιμη ευπάθεια σε EoL routers
Η κακόβουλη κωδικοποίηση που εισάγεται στο σύστημα εγγυάται ότι οι security software drivers φαίνονται να λειτουργούν κανονικά, παρόλο που στην πραγματικότητα αποτυγχάνουν να προστατεύσουν τη συσκευή.
Η Crowdstrike προειδοποιεί κατά των επιθέσεων “Bring Your Own Device” (BYOD), τονίζοντας ότι η ‘Scattered Spider’ έχει περιορισμένο και συγκεκριμένο πεδίο στόχευσης αλλά κανένας οργανισμός δεν είναι απολύτως ασφαλής από αυτές τις προσπάθειες- ως εκ τούτου, είναι σημαντικό να παραμείνετε ενήμεροι για την απειλή των επιθέσεων BYOVD.
Ένα πανάρχαιο ζήτημα των Windows που συνεχίζει να υφίσταται
Η Microsoft αναγνώρισε τις απειλές ασφαλείας που συνιστούν τα Windows και έκανε βήματα για τη βελτίωσή τους το 2021, εισάγοντας μια νέα λειτουργία λίστας αποκλεισμού.
Δυστυχώς, αυτό το ζήτημα δεν αντιμετωπίστηκε άμεσα, καθώς τα Windows δεν μπλοκάρουν αυτούς τους drivers από προεπιλογή εκτός αν εκτελείτε Windows 11 2022 και μεταγενέστερα, τα οποία κυκλοφόρησαν τον Σεπτέμβριο του 2022.
Ακόμη χειρότερα, όπως ανέφερε η ArsTechnica τον Οκτώβριο, η Microsoft ενημέρωνε τη driver block list μόνο σε κάθε σημαντική έκδοση των Windows, αφήνοντας τις συσκευές ευάλωτες σε τέτοιου είδους επιθέσεις. Η Microsoft έκτοτε κυκλοφόρησε ενημερώσεις που διορθώνουν αυτήν τη γραμμή εξυπηρέτησης για να ενημερώσει σωστά την driver block list.
Η Microsoft συνιστά στους χρήστες των Windows να ενεργοποιούν την driver blocklist για προστασία από αυτές τις επιθέσεις BYOVD. Αυτό το άρθρο παρέχει πληροφορίες σχετικά με την ενεργοποίηση της blocklist χρησιμοποιώντας τη δυνατότητα Windows Memory Integrity ή το Windows Defender Application Control (WDAC).
Δυστυχώς, η ενεργοποίηση του Memory Integrity σε συσκευές που ενδέχεται να μην έχουν νεότερους driver μπορεί να είναι δύσκολη.
Πηγή πληροφοριών: bleepingcomputer.com
