Les BYOVD (Bring Your Own Vulnerable Driver) sont toujours très populaires parmi les acteurs de la menace en tant que tueurs EDR.
L'une des raisons est que cela soulève la perspective d'une attaque au niveau du noyau, qui offre aux cybercriminels un large éventail d'options - de la dissimulation de logiciels malveillants à l'espionnage des informations de connexion en passant par la tentative de désactivation des solutions EDR. Les spécialistes de la sécurité de Sophos, Andreas Klopsch et Matt Wixey, ont examiné de près ce qui s'est passé avec les outils Terminator au cours des six derniers mois et les ont résumés dans le rapport « Ce sera de retour : les attaquants abusent toujours de l'outil et de ses variantes Terminator ».
Passage de chauffeurs
BYOVD est une classe d'attaque dans laquelle les acteurs malveillants injectent des pilotes connus mais vulnérables sur un ordinateur compromis pour obtenir des privilèges au niveau du noyau. Les cybercriminels ont du mal à choisir les pilotes vulnérables : par exemple, le référentiel open source loldrivers.io répertorie 364 entrées pour les pilotes vulnérables, y compris les signatures et hachages correspondants. Cette identification pratique des pilotes appropriés est l’une des raisons pour lesquelles les attaques BYOVD sont désormais non seulement réservées à des acteurs de menace hautement professionnels, mais peuvent également être menées par des attaquants de ransomwares moins sophistiqués.
Une autre raison possible de la popularité continue du BYOVD parmi les cybercriminels moins compétents techniquement est le fait qu'ils peuvent acheter les kits et les outils dont ils ont besoin presque dans le commerce sur les forums criminels. L’un de ces outils a particulièrement attiré l’attention en mai 2023, lorsque le célèbre acteur malveillant « Spyboy » a proposé un outil appelé Terminator sur le forum de ransomwares en langue russe RAMP. L'outil devrait coûter entre 300 et 3.000 24 dollars et devrait être capable de désactiver XNUMX produits de sécurité.
C'est ainsi que les entreprises peuvent se protéger
De nombreux fournisseurs de sécurité figurant sur la liste de Spyboy, y compris Sophos, ont agi rapidement pour enquêter sur les variantes de pilotes et développer des mesures de protection. Sophos recommande quatre étapes pour vous protéger contre les attaques BYOVD :
- envisagerSi le produit Endpoint Security a implémenté une protection contre les falsifications.
- Exécution une hygiène stricte dans les rôles de sécurité Windows, car les attaques BYOVD sont généralement activées via une élévation de privilèges et un contournement de l'UAC.
- Tous les systèmes d'exploitation et des applications toujours à jour et la suppression des logiciels plus anciens.
- Enregistrement pilote vulnérable dans le programme de gestion des vulnérabilités. Les acteurs malveillants pourraient tenter d’exploiter les pilotes légitimes vulnérables déjà présents sur un système compromis.
À propos de Sophos Plus de 100 millions d'utilisateurs dans 150 pays font confiance à Sophos. Nous offrons la meilleure protection contre les menaces informatiques complexes et la perte de données. Nos solutions de sécurité complètes sont faciles à déployer, à utiliser et à gérer. Ils offrent le coût total de possession le plus bas du secteur. Sophos propose des solutions de chiffrement primées, des solutions de sécurité pour les terminaux, les réseaux, les appareils mobiles, la messagerie et le Web. Vous bénéficiez également de l'assistance des SophosLabs, notre réseau mondial de centres d'analyse propriétaires. Le siège social de Sophos se trouve à Boston, aux États-Unis, et à Oxford, au Royaume-Uni.