BlackByte ransomware abusa del driver legittimo per disabilitare i prodotti di sicurezza
Pubblicato da Angelo Domeneghini in Adware - Malware - Phishing - Ransomware - Spoofing - Trojan · 6 Ottobre 2022
Tags: #blackbyte, #ransomware, #sicurezza, #malware
Tags: #blackbyte, #ransomware, #sicurezza, #malware
BlackByte ransomware abusa del driver legittimo per disabilitare i prodotti di sicurezza
La banda di ransomware BlackByte sta utilizzando una nuova tecnica che i ricercatori chiamano "Bring Your Own Driver", che consente di aggirare le protezioni disabilitando più di 1.000 driver utilizzati da varie soluzioni di sicurezza.
Gli attacchi recenti attribuiti a questo gruppo hanno coinvolto una versione del driver MSI Afterburner RTCore64.sys, che è vulnerabile a un'escalation dei privilegi e a un difetto di esecuzione del codice rilevato come CVE-2019-16098.
Lo sfruttamento del problema di sicurezza ha consentito a BlackByte di disabilitare i driver che impediscono il normale funzionamento dei prodotti antivirus e di rilevamento e risposta di più endpoint (EDR) e antivirus.
Il metodo "Bring Your Own Vulnerable Driver" (BYOVD) è efficace perché i driver vulnerabili sono firmati con un certificato valido e vengono eseguiti con privilegi elevati sul sistema.
Due recenti esempi degni di nota di attacchi BYOVD includono Lazarus che abusa di un driver Dell con bug e hacker sconosciuti che abusano di un driver/modulo anti-cheat per il gioco Genshin Impact.
Dettagli dell'attacco
I ricercatori di sicurezza della società di sicurezza informatica Sophos spiegano che il driver grafico MSI "abusato" offre codici di controllo I/O accessibili direttamente dai processi in modalità utente, il che viola le linee guida di sicurezza di Microsoft sull'accesso alla memoria del kernel.
Ciò consente agli aggressori di leggere, scrivere o eseguire codice nella memoria del kernel senza utilizzare shellcode o exploit.
Nella prima fase dell'attacco, BlackByte identifica la versione del kernel per selezionare gli offset corretti che corrispondono all'ID del kernel.
I
Successivamente, RTCore64.sys viene rilasciato in "AppData\Roaming" e crea un servizio utilizzando un nome hardcoded e un nome visualizzato non così sottile selezionato casualmente.
Gli aggressori sfruttano quindi la vulnerabilità del driver per rimuovere le routine di notifica del kernel che corrispondono ai processi degli strumenti di sicurezza.
Gli indirizzi di richiamata recuperati vengono utilizzati per derivare il nome del driver corrispondente e confrontati con un elenco di 1.000 driver mirati che supportano la funzione degli strumenti AV/EDR.
Qualsiasi corrispondenza trovata in questa fase viene rimossa sovrascrivendo l'elemento che contiene l'indirizzo della funzione di callback con zeri, quindi il driver di destinazione viene annullato.
Sophos mette inoltre in evidenza diversi metodi che BlackByte utilizza in questi attacchi per eludere l'analisi dei ricercatori della sicurezza, come cercare i segnali di un debugger in esecuzione sul sistema di destinazione e uscire.
Il malware BlackByte verifica anche la presenza di un elenco di DLL di hooking utilizzate da Avast, Sandboxie, Windows DbgHelp Library e Comodo Internet Security e interrompe l'esecuzione se rilevata.
*Gli amministratori di sistema possono proteggersi dal nuovo trucco di aggiramento della sicurezza di BlackByte aggiungendo il particolare driver MSI a una blocklist attiva.*
Inoltre, gli amministratori dovrebbero monitorare tutti gli eventi di installazione dei driver ed esaminarli frequentemente per trovare eventuali iniezioni non autorizzate che non hanno una corrispondenza hardware.