Злоумышленники используют легитимный, но давно отозванный драйвер ядра EnCase в инструменте EDR killer, способном обнаруживать 59 инструментов безопасности и деактивировать их.
EDR killer — это вредоносный инструмент, созданный специально для обхода или отключения средств обнаружения и реагирования на конечных точках (EDR), а также других решений безопасности. Обычно они используют уязвимые драйверы для отключения защитных механизмов в системе.
Как правило, злоумышленники полагаются на технику «Bring Your Own Vulnerable Driver» (BYOVD), при которой они внедряют легитимный, но уязвимый драйвер и используют его для получения доступа на уровне ядра и завершения процессов программ безопасности.
Эта техника хорошо документирована и очень популярна, но, несмотря на внедрение Microsoft различных средств защиты на протяжении многих лет, системы Windows по-прежнему уязвимы для эффективных обходов.
EnCase — это инструмент цифровых расследований, используемый правоохранительными органами в криминалистических операциях, который позволяет извлекать и анализировать данные с компьютеров, мобильных устройств или облачных хранилищ.
Исследователи Huntress, реагируя на инцидент кибербезопасности ранее в этом месяце, заметили развертывание пользовательского EDR killer, замаскированного под легитимную утилиту обновления прошивки и использующего старый драйвер ядра.
Злоумышленникам удалось проникнуть в сеть, используя скомпрометированные учетные данные SonicWall SSL VPN и эксплуатируя отсутствие многофакторной аутентификации (MFA) для учетной записи VPN.
После входа в систему злоумышленники провели агрессивную внутреннюю разведку, включая сканирование ICMP ping, зондирование NetBIOS и активность, связанную с SMB, а также SYN-флуд со скоростью более 370 SYNs/сек.
Используемый в данном случае EDR killer представляет собой 64-битный исполняемый файл, который злоупотребляет ‘EnPortv.sys’, старым драйвером ядра EnCase, для отключения инструментов безопасности, работающих на хост-системе.
Сертификат драйвера был выдан в 2006 году, истек в 2010 году и впоследствии был отозван; однако, поскольку система принудительного применения подписей драйверов в Windows работает путем проверки результатов криптографической верификации и временных меток, а не проверки списков отзыва сертификатов (CRL), операционная система по-прежнему принимает старый сертификат.
Хотя Microsoft добавила требование в Windows 10 версии 1607 о том, что драйверы ядра должны подписываться через Hardware Dev Center, для сертификатов, выданных до 29 июля 2015 года, было сделано исключение, которое применимо и в данном случае.
Драйвер ядра устанавливается и регистрируется как поддельная служба оборудования OEM, обеспечивая устойчивость к перезагрузкам.

Вредоносное ПО использует интерфейс IOCTL драйвера в режиме ядра для завершения процессов служб, обходя существующие средства защиты Windows, такие как Protected Process Light (PPL).
Существует 59 целевых процессов, связанных с различными инструментами EDR и антивирусами. Цикл завершения процессов выполняется каждую секунду, немедленно прекращая работу любых перезапускаемых процессов.

Huntress полагает, что вторжение было связано с активностью программ-вымогателей, хотя атака была остановлена до развертывания финальной полезной нагрузки.
Ключевые рекомендации по защите включают включение MFA на всех службах удаленного доступа, мониторинг журналов VPN на предмет подозрительной активности и включение HVCI/Memory Integrity для принудительного применения списка блокировки уязвимых драйверов Microsoft.
Кроме того, Huntress рекомендует отслеживать службы ядра, маскирующиеся под OEM или аппаратные компоненты, и развертывать правила WDAC и ASR для блокировки уязвимых подписанных драйверов.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas




