Η ομάδα ransomware ALPHV (γνωστή και ως BlackCat) παρατηρήθηκε ότι χρησιμοποιεί υπογεγραμμένους, κακόβουλους Windows kernel drivers για να αποφύγει την ανίχνευση από το λογισμικό ασφαλείας κατά τη διάρκεια των επιθέσεων.

Ο driver που εντοπίστηκε από την Trend Micro είναι μια βελτιωμένη έκδοση του κακόβουλου λογισμικού με την ονομασία “POORTRY”, το οποίο οι Microsoft, Mandiant, Sophos και SentinelOne είχαν εντοπίσει σε επιθέσεις ransomware στα τέλη του περασμένου έτους.

Το POORTRY malware είναι ένας Windows kernel driver που υπογράφεται με τη χρήση κλεμμένων κλειδιών που ανήκουν σε νόμιμους λογαριασμούς στο Πρόγραμμα Ανάπτυξης Υλικού των Windows της Microsoft.

Αυτός ο κακόβουλος driver, που χρησιμοποιήθηκε από την ομάδα hacking UNC3944 (επίσης γνωστή ως 0ktapus και Scattered Spider), χρησιμοποιήθηκε για να τερματίσει το λογισμικό ασφαλείας που εκτελείται σε μια συσκευή Windows, προκειμένου να αποφύγει την ανίχνευση.

Ενώ το λογισμικό ασφαλείας συνήθως προστατεύεται από τον τερματισμό ή την αλλοίωση, καθώς οι Windows kernel drivers εκτελούνται με τα υψηλότερα προνόμια στο λειτουργικό σύστημα, μπορούν να χρησιμοποιηθούν για τον τερματισμό σχεδόν οποιασδήποτε διεργασίας.

Η Trend Micro δήλωσε ότι οι φορείς του ransomware προσπάθησαν να χρησιμοποιήσουν το υπογεγραμμένο από τη Microsoft πρόγραμμα οδήγησης POORTRY, αλλά λόγω της δημοσιότητας που έλαβε και της επακόλουθης ανάκλησης των κλειδιών υπογραφής του κώδικα, τα ποσοστά εντοπισμού του ήταν υψηλά.

Ως εκ τούτου, οι χάκερ χρησιμοποίησαν μια ενημερωμένη έκδοση του POORTRY kernel driver, υπογεγραμμένη με τη χρήση ενός κλεμμένου ή διαρρεύσαντος πιστοποιητικού διασταυρούμενης υπογραφής.

Ο νέος driver που χρησιμοποιείται από την επιχείρηση BlackCat ransomware την βοηθά να αυξήσει τα προνόμιά της σε μολυσμένα μηχανήματα και στη συνέχεια να σταματήσουν διεργασίες που σχετίζονται με πράκτορες ασφαλείας.

Επιπλέον, μπορεί να παρέχει μια χαλαρή σύνδεση μεταξύ της συμμορίας ransomware και της ομάδας hacking UNC3944/Scattered Spider.

Ο κακόβουλος Windows kernel driver

Ο υπογεγραμμένος driver που εντοπίστηκε από την Trend Micro στις επιθέσεις BlackCat του Φεβρουαρίου 2023 είναι ο “ktgn.sys”, ο οποίος τοποθετήθηκε στο σύστημα αρχείων του θύματος στο φάκελο %Temp% και στη συνέχεια φορτώθηκε από ένα πρόγραμμα χρήστη με το όνομα “tjr.exe”

Οι αναλυτές λένε ότι η ψηφιακή υπογραφή του ktgn.sys έχει ανακληθεί- ωστόσο, ο driver εξακολουθεί να φορτώνεται χωρίς πρόβλημα σε συστήματα Windows 64-bit με επιβαλλόμενες πολιτικές υπογραφής.

Ο κακόβουλος driver του πυρήνα εκθέτει μια διεπαφή IOCTL, επιτρέποντας στο user mode client, tjr.exe, να εκδίδει εντολές που ο driver θα εκτελεί με προνόμια του πυρήνα των Windows.

Οι αναλυτές της Trend Micro παρατήρησαν τις εκτεθειμένες ακόλουθες εντολές που μπορούν να εκδοθούν στον driver:

  1. Ενεργοποίηση driver
  2. Απενεργοποιίηση του driver αφού το user mode client ολοκληρώσει την λειτουργία
  3. Σκότωσε κάθε διεργασία user-mode
  4. Διαγράψτε συγκεκριμένα file path
  5. Αναγκαστική διαγραφή ενός αρχείου ελευθερώνοντας τις λαβές του και τερματίζοντας τις διεργασίες που εκτελούνται χρησιμοποιώντας το
  6. Αντιγραφή αρχείων
  7. Αναγκαστική αντιγραφή αρχείων χρησιμοποιώντας παρόμοιο μηχανισμό για force-delete
  8. Καταχώριση των ανακλήσεων Process/Thread Notification
  9. Κατάργηση εγγραφής επανακλήσεων Process/Thread Notification
  10. Reboot the system by calling the ‘HalReturnToFirmware’ API

Η Trend Micro σχολιάζει ότι οι δύο εντολές που χρησιμοποιούνται για τα Process/Thread Notification callbacks δεν λειτουργούν, γεγονός που υποδηλώνει ότι ο driver βρίσκεται υπό ανάπτυξη ή ακόμα σε φάση δοκιμών.

Συνιστάται στους system administrators να χρησιμοποιούν τα  indicators of compromise που κοινοποιεί η Trend Micro και να προσθέτουν τους κακόβουλους drivers που χρησιμοποιούνται από τους φορείς ransomware στη λίστα αποκλεισμού Windows driver.

Οι διαχειριστές των Windows θα πρέπει επίσης να διασφαλίσουν ότι είναι ενεργοποιημένη η λειτουργία “Driver Signature Enforcement”, η οποία εμποδίζει την εγκατάσταση οποιουδήποτε driver που δεν διαθέτει έγκυρη ψηφιακή υπογραφή.

Πηγή: bleepingcomputer.com

Αφήστε ένα Σχόλιο

Το e-mail σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Διαβάστε επίσης

Χάκερ μολύνουν το firmware του TP-Link router για να επιτεθούν σε οντότητες της ΕΕ

Χάκερ έχουν μολύνει το firmware των router TP-Link προκειμένου να επιτεθούν σε οντότητες στην Ευρωπαϊκή Ένωση.

U.S. and U.K. Warn of Russian Hackers Exploiting Cisco Router Flaws for Espionage

U.K. and U.S. cybersecurity and intelligence agencies have warned of Russian nation-state actors exploiting now-patched flaws in networking equipment from Cisco to conduct reconnaissance and deploy malware against select targets.

HyperOS 2.0 by Xiaomi: Επαναστατική λειτουργία ανίχνευσης κρυφών καμερών

Αν και οι λεπτομέρειες για το HyperOS 2 είναι ακόμα ελλιπείς, πηγή υποστηρίζει ότι ίσως περιλαμβάνει μια λειτουργία ανίχνευσης κρυφών καμερών.