BYOVD (Bring Your Own Vulnerable Driver) sigue siendo muy popular entre los actores de amenazas como asesinos de EDR.
Una razón es que esto plantea la posibilidad de un ataque a nivel de kernel, lo que brinda a los ciberdelincuentes una amplia gama de opciones, desde ocultar malware hasta espiar las credenciales de inicio de sesión e intentar deshabilitar las soluciones EDR. Los especialistas en seguridad de Sophos, Andreas Klopsch y Matt Wixey, han examinado de cerca lo que ha estado sucediendo con las herramientas Terminator durante los últimos seis meses y lo resumieron en el informe "Volverá: los atacantes siguen abusando de la herramienta Terminator y sus variantes".
Contrabando de conductores
BYOVD es una clase de ataque en el que los actores de amenazas inyectan controladores conocidos pero vulnerables en una computadora comprometida para obtener privilegios a nivel de kernel. A los ciberdelincuentes les resulta fácil elegir controladores vulnerables: por ejemplo, el repositorio de código abierto loldrivers.io enumera 364 entradas para controladores vulnerables, incluidas las firmas y hashes correspondientes. Esta conveniente identificación de los controladores adecuados es una de las razones por las que los ataques BYOVD ahora no solo están reservados para actores de amenazas altamente profesionales, sino que también pueden ser llevados a cabo por atacantes de ransomware menos sofisticados.
Otra posible razón de la continua popularidad de BYOVD entre los ciberdelincuentes menos competentes técnicamente es el hecho de que pueden comprar los kits y herramientas que necesitan casi en el mercado en foros criminales. Una de estas herramientas atrajo especial atención en mayo de 2023, cuando el conocido actor de amenazas “spyboy” ofreció una herramienta llamada Terminator en el foro de ransomware en ruso RAMP. La herramienta debería costar entre 300 y 3.000 dólares y debería poder desactivar 24 productos de seguridad.
Así pueden protegerse las empresas
Muchos de los proveedores de seguridad en la lista de spyboy, incluido Sophos, actuaron rápidamente para investigar variantes de controladores y desarrollar medidas de protección. Sophos recomienda cuatro pasos para protegerse de los ataques BYOVD:
- considerarSi el producto Endpoint Security ha implementado protección contra manipulaciones.
- Ejecución Higiene estricta en las funciones de seguridad de Windows, ya que los ataques BYOVD generalmente se habilitan mediante escalada de privilegios y elusión de UAC.
- Todos los sistemas operativos y aplicaciones siempre actualizadas y la eliminación de software antiguo.
- Grabación controlador vulnerable en el programa de gestión de vulnerabilidades. Los actores de amenazas podrían intentar explotar controladores legítimos vulnerables que ya están presentes en un sistema comprometido.
Acerca de Sophos Sophos cuenta con la confianza de más de 100 millones de usuarios en 150 países. Ofrecemos la mejor protección contra amenazas informáticas complejas y pérdida de datos. Nuestras soluciones integrales de seguridad son fáciles de implementar, usar y administrar. Ofrecen el costo total de propiedad más bajo de la industria. Sophos ofrece soluciones de cifrado galardonadas, soluciones de seguridad para terminales, redes, dispositivos móviles, correo electrónico y web. También cuenta con el soporte de SophosLabs, nuestra red global de centros de análisis patentados. Las oficinas centrales de Sophos se encuentran en Boston, EE. UU. y Oxford, Reino Unido.