Новое исследование компании ESET показало, что одна из ведущих мировых групп, занимающихся программами-вымогателями, предоставила своим криминальным аффилиатам доступ к передовым инструментам, способным успешно отключать многие современные продукты для обнаружения и реагирования на конечных точках (EDR) в корпоративном секторе.
Речь идет о группе The Gentlemen, которая с момента своего появления в прошлом году под этим псевдонимом стала одной из самых успешных платформ Ransomware-as-a-Service (RaaS) благодаря бизнес-модели, предлагающей аффилиатам необычайно щедрое распределение доходов 90/10.
В мае серверы группы были взломаны неизвестным злоумышленником, который опубликовал материалы, впоследствии проанализированные исследователями для получения более глубокого понимания операций группы.
Одной из тактик, которая, по мнению ESET, не получила должного внимания, является растущая важность «EDR-киллеров» в примерно 300 атаках программ-вымогателей, совершенных через платформу The Gentlemen.
EDR-киллеры — инструменты, которые пытаются обойти или отключить агенты безопасности конечных точек ПК и серверов во время кибератаки, — не новы, но их количество и сложность постепенно возрастают. Однако барьером для их использования в контексте программ-вымогателей является то, что аффилиату все равно необходимо разработать или найти собственный инструмент EDR-киллера, что является серьезной задачей, учитывая большое количество EDR-продуктов, используемых защитниками.
Утечка подтвердила подозрения ESET о том, что The Gentlemen разработала собственный фреймворк EDR-киллеров под кодовым названием «GentleKiller», который предоставляет аффилиатам доступ к широкому спектру сложных процедур EDR-убийства без необходимости выполнять какую-либо работу самостоятельно. The Gentlemen также интегрирует известные сторонние инструменты, такие как HexKiller, ThrottleBlood и HavocKiller.
Использование собственных уязвимых драйверов
По словам исследователя ESET Якуба Соучека, это привело к демократизации возможностей EDR-убийства, которые стали необходимы для обхода корпоративных систем защиты.
«Предоставляя такие инструменты аффилиатам, они снижают порог входа для менее квалифицированных аффилиатов, которые, помимо шифровальщика, получают все необходимое для проведения вторжений. Это, естественно, расширяет пул аффилиатов и обеспечивает последовательное развертывание шифровальщика», — сказал Соучек по электронной почте.
В общей сложности в восьми вариантах центральным элементом фреймворка была возможность быстрой установки новых доказательств концепции «принеси свой собственный уязвимый драйвер» (BYOVD), используемых для получения привилегий на уровне ядра после загрузки уязвимого драйвера в память. Технология была дополнена обходами для 400 процессов EDR от 48 различных поставщиков.
Принцип, лежащий в основе BYOVD, достаточно прост: как только злоумышленник получил права администратора посредством захвата учетной записи, он загружает легитимный, но старый и уязвимый драйвер поставщика, внутри которого находится уязвимость, которую можно использовать. Это расширяет полномочия администратора до уровня ядра, позволяя напрямую нацеливаться на драйверы EDR.
Уязвимость инструментов EDR к новому поколению методов обхода известна уже некоторое время; исследование 2024 года, проведенное компанией безопасности Trellix, подчеркнуло эту слабость, а ранее в этом году другой поставщик решений в области безопасности, Huntress, сообщил о недавнем случае, когда BYOVD использовался для загрузки и нацеливания на уязвимый старый драйвер с целью отключения защиты EDR.
«Самым большим препятствием для защиты является тот факт, что EDR-киллеры полагаются на уязвимые невредоносные драйверы, которые часто все еще используются легитимно», — отметил Соучек.
Для защиты от этого предприятиям следует внедрять такие средства защиты, как Hypervisor-Protected Code Integrity (HVCI) и Kernel-mode Code Integrity (KMCI), которые затрудняют загрузку старых или небезопасных драйверов, сказал он.
По словам Соучека, «компании также должны применять строгие политики разрешенных и заблокированных драйверов, в том числе с помощью пользовательских правил, соответствующих их организации, постоянно проводить аудит и удалять ненужные драйверы, а также обеспечивать обновление или устранение уязвимых драйверов. Предотвращение установки таких драйверов делает EDR-киллер безвредным».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – John E. Dunn
