54 de programe EDR killers folosesc BYOVD pentru a exploata 34 de drivere vulnerabile semnate și a dezactiva securitatea

O nouă analiză a programelor EDR killers a relevat că 54 dintre acestea utilizează o tehnică cunoscută sub numele de „aduce-ți propriul driver vulnerabil” (BYOVD), abuzând un total de 35 de drivere vulnerabile. Programele EDR killer au fost o prezență comună în intruziunile de tip ransomware, deoarece oferă un mod pentru afiliați de a neutraliza software-ul de securitate înainte de a desfășura malware-ul de criptare a fișierelor, conform thehackernews.com.

Programele de tip EDR killer acționează ca un component extern specializat care este rulat pentru a dezactiva controalele de securitate înainte de a executa programele de criptare, menținându-le astfel simple, stabile și ușor de reconstruit. Majoritatea EDR killers se bazează pe drivere legitime, dar vulnerabile, pentru a obține privilegii ridicate și a-și atinge obiectivele. Din cele aproape 90 de instrumente EDR killer detectate de compania slovacă de cybersecurity, mai mult de jumătate utilizează tacticile cunoscute BYOVD, pur și simplu pentru că sunt fiabile.

👉 Scopul și modul de operare al atacurilor BYOVD

„Scopul unei atacuri BYOVD este de a obține privilegii în modul kernel, adesea denumit Ring 0,” explică Bitdefender. „La acest nivel, codul are acces nelimitat la memoria sistemului și la hardware. Deoarece un atacator nu poate încărca un driver malițios nesemnat, ei 'aduc' un driver semnat de un furnizor de renume (cum ar fi un producător de hardware sau o versiune veche de antivirus) care are o vulnerabilitate cunoscută.”

👉 Impactul accesului kernel și categoriile de EDR killers

Prin obținerea accesului kernel, actorii rău intenționați pot termina procesele EDR, dezactiva instrumentele de securitate, modifica apelurile kernel și submina protecțiile de la nivelul endpoint-urilor. Rezultatul este un abuz al modelului de încredere în driverele Microsoft pentru a eluda apărările, profitând de faptul că driverul vulnerabil este legitim și semnat.

Programele EDR killers bazate pe BYOVD sunt dezvoltate în principal de trei tipuri de actori rău intenționați. ESET a identificat și instrumente bazate pe scripturi care utilizează comenzi administrative încorporate, precum taskkill, net stop sau sc delete, pentru a interfera cu funcționarea normală a proceselor și serviciilor produselor de securitate.

Selecții ale variantelor au fost, de asemenea, găsite combinând scriptingul cu modul de siguranță Windows. „Deoarece modul de siguranță încarcă doar un subset minim al sistemului de operare, soluțiile de securitate nu sunt de obicei incluse, malware-ul are o șansă mai mare de a dezactiva protecția,” a observat compania. „În același timp, o astfel de activitate este foarte zgomotoasă, deoarece necesită o repornire, ceea ce este riscant și nesigur în medii necunoscute.”

A treia categorie de EDR killers sunt anti-rootkits, care includ utilitare legitime precum GMER, HRSword și PC Hunter, care oferă o interfață utilizator intuitivă pentru a termina procesele sau serviciile protejate. O a patra categorie emergentă este un set de EDR killers fără drivere, cum ar fi EDRSilencer și EDR-Freeze, care blochează traficul de ieșire de la soluțiile EDR și fac ca programele să intre într-o stare similară cu „coma”.

„Atacatorii nu depun mult efort în a-și face programele de criptare nedetectabile,” a declarat ESET. „În schimb, toate tehnicile sofisticate de evazie a detectării s-au mutat în componentele de mod utilizator ale EDR killers.”

Pentru a combate ransomware-ul și EDR killers, blocarea driverelor adesea folosite în mod abuziv de a se încărca este o necesitate. Cu toate acestea, având în vedere că EDR killers sunt executate doar în ultima etapă și imediat înainte de lansarea criptorului, o eșec în această etapă înseamnă că actorul rău intenționat poate trece cu ușurință la un alt instrument pentru a îndeplini aceeași sarcină. Implicația este că organizațiile au nevoie de apărări stratificate și strategii de detectare pentru a monitoriza proactiv, a semnala, a conține și a remedia amenințarea în fiecare etapă a ciclului de atac.

„EDR killers persistă deoarece sunt ieftine, consistente și decuplate de criptor – un potrivire perfect atât pentru dezvoltatorii de criptori, care nu trebuie să se concentreze pe a-și face criptorii nedetectabili, cât și pentru afiliați, care dispun de un instrument ușor de utilizat și puternic pentru a perturba apărările înainte de criptare,” a adăugat ESET.