54 de EDR Killeri folosesc BYOVD pentru a exploata 34 de drivere vulnerabile semnate și a dezactiva securitatea
O nouă analiză a EDR killerilor a relevat că 54 dintre aceștia folosesc o tehnică cunoscută sub numele de bring your own vulnerable driver (BYOVD) prin abuzul a 35 de drivere vulnerabile. Aceste programe sunt frecvent întâlnite în infracțiunile cu ransomware, oferind o modalitate pentru afiliați de a neutraliza software-ul de securitate înainte de a desfășura malware de criptare a fișierelor, potrivit thehackernews.com.
👉 Modul de funcționare și scopul EDR killerilor
Programele EDR killer acționează ca un component extern specializat care este rulat pentru a dezactiva controalele de securitate înainte de a executa ransomware-ul, păstrându-le astfel simple, stabile și ușor de reconstruit. Unii killeri EDR combină terminarea EDR cu module de ransomware într-un singur binar, exemplul fiind Reynolds ransomware. Majoritatea acestor instrumente depind de drivere legitime, dar vulnerabile, pentru a obține privilegii elevate.
Conform analizei realizate de compania slovacă de securitate cibernetică ESET, mai mult de jumătate din cele aproape 90 de instrumente EDR killer detectate utilizează tactica cunoscută BYOVD datorită fiabilității sale. Obiectivul unui atac BYOVD este de a obține privilegii de kernel-mode, adesea numite Ring 0. La acest nivel, codul are acces nesancționat la memoria sistemului și la hardware.
👉 Tactici și clase de EDR killeri utilizate de atacatori
Atacatorii profită de modelul de încredere al driverelor Microsoft pentru a eluda apărările, utilizând drivere vulnerabile care sunt legitime și semnate. Killerii EDR bazați pe BYOVD sunt dezvoltați în principal de trei tipuri de actori de amenințare. ESET a identificat de asemenea instrumente bazate pe scripturi care utilizează comenzi administrative incluse, cum ar fi taskkill, net stop sau sc delete, pentru a interveni în funcționarea normală a proceselor și serviciilor de securitate.
Printre variantele selectate, s-au găsit combinații de scripting cu modul Safe Mode al Windows, care încarcă doar un subset minim al sistemului de operare, oferind malware-ului o șansă mai mare de a dezactiva protecția. Activitatea în modul Safe Mode este însă foarte zgomotoasă, necesită un reboot, ceea ce este riscant și imposibil de realizat în medii necunoscute.
O a treia categorie de EDR killeri sunt anti-rootkits, care includ utilitare legitime precum GMER, HRSword și PC Hunter, ce oferă o interfață intuitivă pentru a termina procesele sau serviciile protejate. O a patra clasă emergentă este un set de EDR killeri fără drivere, cum ar fi EDRSilencer și EDR-Freeze, care blochează traficul de ieșire din soluțiile EDR și determină programele să intre într-o stare asemănătoare "comă".
Atacatorii nu depun prea mult efort în a face criptotoarele lor nedetectabile; toate tehnicile sofisticate de evaziune au fost transferate în componentele de utilizator ale EDR killerilor. Această tendință este cel mai vizibilă în killerii EDR comerciali, care integrează adesea capabilități mature de anti-analiză și anti-detectare.
Pentru a combate ransomware-ul și EDR killerii, blocarea driverelor utilizate în mod obișnuit este o necesitate. Totuși, având în vedere că EDR killerii sunt executați doar în ultima etapă, chiar înainte de lansarea criptotoarelor, un eșec în această etapă înseamnă că actorul de amenințare poate schimba ușor un instrument pentru a atinge același obiectiv.
Implicația este că organizațiile au nevoie de apărări stratificate și strategii de detectare pentru a monitoriza, semnala, izola și remedia amenințarea în fiecare etapă a ciclului de atac.
„Killerii EDR persistă deoarece sunt ieftini, constanți și decuplați de criptotoare – un punctaj perfect pentru dezvoltatorii de criptotoare, care nu trebuie să fie concentrați pe a face criptotoarele nedetectabile, și afiliați, care dețin un instrument puternic și ușor de utilizat pentru a perturba apărările înainte de criptare,” a concluzionat ESET.