Инструмент «EDR killer» использует подписанный драйвер ядра из криминалистического ПО

Edr Killer Encase Byovd кибербезопасность драйвер ядра Huntress

Хакеры используют устаревший драйвер ядра EnCase для создания EDR killer, способного отключать 59 инструментов безопасности. Эксперты Huntress выявили атаку, направленную на деактивацию средств защиты через уязвимость BYOVD. Рекомендации включают MFA и защиту от уязвимых драйверов.

Злоумышленники используют легитимный, но давно отозванный драйвер ядра EnCase в инструменте EDR killer, способном обнаруживать 59 инструментов безопасности и деактивировать их.

EDR killer — это вредоносный инструмент, созданный специально для обхода или отключения средств обнаружения и реагирования на конечных точках (EDR), а также других решений безопасности. Обычно они используют уязвимые драйверы для отключения защитных механизмов в системе.

Как правило, злоумышленники полагаются на технику «Bring Your Own Vulnerable Driver» (BYOVD), при которой они внедряют легитимный, но уязвимый драйвер и используют его для получения доступа на уровне ядра и завершения процессов программ безопасности.

Эта техника хорошо документирована и очень популярна, но, несмотря на внедрение Microsoft различных средств защиты на протяжении многих лет, системы Windows по-прежнему уязвимы для эффективных обходов.

EnCase — это инструмент цифровых расследований, используемый правоохранительными органами в криминалистических операциях, который позволяет извлекать и анализировать данные с компьютеров, мобильных устройств или облачных хранилищ.

Исследователи Huntress, реагируя на инцидент кибербезопасности ранее в этом месяце, заметили развертывание пользовательского EDR killer, замаскированного под легитимную утилиту обновления прошивки и использующего старый драйвер ядра.

Злоумышленникам удалось проникнуть в сеть, используя скомпрометированные учетные данные SonicWall SSL VPN и эксплуатируя отсутствие многофакторной аутентификации (MFA) для учетной записи VPN.

После входа в систему злоумышленники провели агрессивную внутреннюю разведку, включая сканирование ICMP ping, зондирование NetBIOS и активность, связанную с SMB, а также SYN-флуд со скоростью более 370 SYNs/сек.

Используемый в данном случае EDR killer представляет собой 64-битный исполняемый файл, который злоупотребляет ‘EnPortv.sys’, старым драйвером ядра EnCase, для отключения инструментов безопасности, работающих на хост-системе.

Сертификат драйвера был выдан в 2006 году, истек в 2010 году и впоследствии был отозван; однако, поскольку система принудительного применения подписей драйверов в Windows работает путем проверки результатов криптографической верификации и временных меток, а не проверки списков отзыва сертификатов (CRL), операционная система по-прежнему принимает старый сертификат.

Хотя Microsoft добавила требование в Windows 10 версии 1607 о том, что драйверы ядра должны подписываться через Hardware Dev Center, для сертификатов, выданных до 29 июля 2015 года, было сделано исключение, которое применимо и в данном случае.

Драйвер ядра устанавливается и регистрируется как поддельная служба оборудования OEM, обеспечивая устойчивость к перезагрузкам.

Инструмент «EDR killer» использует подписанный драйвер ядра из криминалистического ПО

Вредоносное ПО использует интерфейс IOCTL драйвера в режиме ядра для завершения процессов служб, обходя существующие средства защиты Windows, такие как Protected Process Light (PPL).

Существует 59 целевых процессов, связанных с различными инструментами EDR и антивирусами. Цикл завершения процессов выполняется каждую секунду, немедленно прекращая работу любых перезапускаемых процессов.

Инструмент «EDR killer» использует подписанный драйвер ядра из криминалистического ПО

Huntress полагает, что вторжение было связано с активностью программ-вымогателей, хотя атака была остановлена до развертывания финальной полезной нагрузки.

Ключевые рекомендации по защите включают включение MFA на всех службах удаленного доступа, мониторинг журналов VPN на предмет подозрительной активности и включение HVCI/Memory Integrity для принудительного применения списка блокировки уязвимых драйверов Microsoft.

Кроме того, Huntress рекомендует отслеживать службы ядра, маскирующиеся под OEM или аппаратные компоненты, и развертывать правила WDAC и ASR для блокировки уязвимых подписанных драйверов.

Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.

В тренде:


Похожие новости: