Οι χειριστές ransomware του RansomHub αναπτύσσουν τώρα νέο κακόβουλο λογισμικό για να απενεργοποιήσουν το λογισμικό ασφαλείας Endpoint Detection and Response (EDR) στις επιθέσεις Bring Your Own Vulnerable Driver (BYOVD).
Ονομάστηκε EDRKillShifter από τους ερευνητές ασφαλείας της Sophos που το ανακάλυψαν κατά τη διάρκεια μιας έρευνας ransomware τον Μάιο του 2024. Το κακόβουλο λογισμικό αναπτύσσει ένα νόμιμο, ευάλωτο πρόγραμμα οδήγησης σε στοχευμένες συσκευές για να κλιμακώσει τα προνόμια, να απενεργοποιήσει λύσεις ασφαλείας και να αναλάβει τον έλεγχο του συστήματος.
Η τεχνική των χάκερ
Αυτή η τεχνική είναι πολύ δημοφιλής μεταξύ διαφόρων παραγόντων απειλών, από συμμορίες ransomware με οικονομικά κίνητρα έως ομάδες πειρατείας.
«Κατά τη διάρκεια του περιστατικού τον Μάιο, οι παράγοντες απειλών – εκτιμούμε με μέτρια βεβαιότητα ότι αυτό το εργαλείο χρησιμοποιείται από πολλούς εισβολείς – προσπάθησαν να χρησιμοποιήσουν το EDRKillShifter για να τερματίσουν την προστασία του Sophos στον στοχευμένο υπολογιστή, αλλά το εργαλείο απέτυχε», δήλωσε ο ερευνητής απειλών της Sophos, Andreas Klopsch.
«Στη συνέχεια προσπάθησαν να τρέξουν το εκτελέσιμο λογισμικό ransomware στο μηχάνημα που έλεγχαν, αλλά απέτυχε επίσης όταν ενεργοποιήθηκε η δυνατότητα CryptoGuard του πράκτορα τελικού σημείου».
Ανακάλυψη νέων δειγμάτων κακόβουλου λογισμικού
Κατά την έρευνα, η Sophos ανακάλυψε δύο διαφορετικά δείγματα, και τα δύο με εκμεταλλεύσεις απόδειξης της ιδέας διαθέσιμα στο GitHub: ένα που εκμεταλλεύεται ένα ευάλωτο πρόγραμμα οδήγησης γνωστό ως RentDrv2 και ένα άλλο που εκμεταλλεύεται ένα πρόγραμμα οδήγησης που ονομάζεται ThreatFireMonitor, ένα στοιχείο ενός καταργημένου πακέτου παρακολούθησης συστήματος.
Η Sophos διαπίστωσε επίσης ότι το EDRKillShifter μπορεί να παραδώσει διάφορα ωφέλιμα φορτία προγραμμάτων οδήγησης με βάση τις ανάγκες των εισβολέων και ότι η ιδιότητα γλώσσας του κακόβουλου λογισμικού υποδηλώνει ότι έχει μεταγλωττιστεί σε υπολογιστή με ρωσική τοπική προσαρμογή.
Διαδικασία εκτέλεσης του EDRKillShifter
Η διαδικασία εκτέλεσης του προγράμματος που χρησιμοποιούν οι επιτιθέμενοι περιλαμβάνει τρία απλά βήματα:
- Ο επιτιθέμενος ξεκινά το πρόγραμμα EDRKillShifter και χρησιμοποιεί έναν κωδικό πρόσβασης για να αποκρυπτογραφήσει και να ενεργοποιήσει ένα κρυφό αρχείο στη μνήμη του υπολογιστή.
- Αυτό το αρχείο στη συνέχεια ανοίγει και εκτελεί το κύριο κακόβουλο λογισμικό.
- Το κακόβουλο λογισμικό εγκαθιστά και εκμεταλλεύεται ένα νόμιμο αλλά ευάλωτο πρόγραμμα οδήγησης για να αποκτήσει περισσότερα δικαιώματα στον υπολογιστή και να απενεργοποιήσει τα προγράμματα ασφαλείας που είναι ενεργά
Προστασία και μέτρα πρόληψης
Η Sophos προτείνει μερικά απλά μέτρα για να προστατευτείτε από αυτού του είδους τις επιθέσεις:
- Ενεργοποιήστε την προστασία από παραβίαση στα προγράμματα ασφαλείας που χρησιμοποιείτε, ώστε να είναι πιο δύσκολο για τους εισβολείς να τις απενεργοποιήσουν.
- Κρατήστε ξεχωριστά τα δικαιώματα χρήστη και διαχειριστή, για να μην μπορούν οι επιτιθέμενοι να εγκαταστήσουν ευάλωτα προγράμματα οδήγησης.
- Φροντίστε να ενημερώνετε τα συστήματά σας τακτικά, γιατί η Microsoft αφαιρεί την πιστοποίηση από προγράμματα οδήγησης που έχουν χρησιμοποιηθεί σε επιθέσεις στο παρελθόν.
Προηγούμενες απειλές και νέες εξελίξεις
Πέρυσι, η Sophos εντόπισε ένα άλλο κακόβουλο λογισμικό που παρακάμπτει το EDR, με το όνομα AuKill, το οποίο έκανε κατάχρηση ενός ευάλωτου προγράμματος οδήγησης Process Explorer στις επιθέσεις ransomware Medusa Locker και LockBit.
Το AuKill είναι παρόμοιο με ένα εργαλείο ανοιχτού κώδικα γνωστό ως Backstab, το οποίο επίσης εκμεταλλεύεται ένα ευάλωτο πρόγραμμα οδήγησης Process Explorer και έχει χρησιμοποιηθεί από τη συμμορία LockBit σε τουλάχιστον μία επίθεση που παρατηρήθηκε από το Sophos X-Ops.