Sophos contrecarre les attaques de rançongiciels avec un pilote malveillant rare, mais signé avec un certificat numérique Microsoft valide. Le pilote cible les processus Endpoint Detection and Response (EDR). L'attaque est liée au Cuba Ransomware Group.
Sophos a trouvé du code malveillant dans plusieurs pilotes signés avec des certificats numériques légitimes. Un nouveau rapport, Signed Driver Malware Moves up the Software Trust Chain, détaille l'enquête qui a commencé par une tentative d'attaque par ransomware. Les attaquants ont utilisé un pilote malveillant signé avec un certificat numérique Windows Hardware Compatibility Publisher légitime de Microsoft.
Pilotes malveillants avec des certificats Microsoft valides
Le pilote malveillant cible spécifiquement les processus utilisés par les principaux progiciels Endpoint Detection and Response (EDR). Il a été installé par des logiciels malveillants associés à des acteurs de la menace associés au Cuba Ransomware Group - un groupe prolifique qui a attaqué avec succès plus de 100 entreprises dans le monde au cours de l'année écoulée. Sophos Rapid Response a réussi à déjouer l'attaque. Cette enquête a déclenché une vaste collaboration entre Sophos et Microsoft pour prendre des mesures et éliminer la menace.
Problème de certificat volé
Les pilotes peuvent effectuer des opérations hautement privilégiées sur les systèmes. Entre autres choses, les pilotes en mode noyau peuvent mettre fin à de nombreux types de logiciels, y compris les logiciels de sécurité. Contrôler quels pilotes peuvent être chargés est un moyen de protéger les ordinateurs contre ce type d'attaque. Windows exige que les pilotes portent une signature cryptographique - un "tampon d'approbation" - avant que le pilote puisse être chargé.
Cependant, tous les certificats numériques utilisés pour signer les pilotes ne sont pas également fiables. Certains certificats de signature numérique volés et divulgués ont ensuite été utilisés pour signer des logiciels malveillants ; d'autres certificats ont été achetés et utilisés par des fabricants de logiciels PUA peu scrupuleux. L'enquête de Sophos sur un pilote malveillant utilisé pour saboter les outils de sécurité des terminaux lors d'une attaque par rançongiciel a révélé que les attaquants avaient déployé des efforts concertés pour passer de certificats numériques moins fiables à des certificats plus fiables.
Cuba est très probablement impliqué
"Ces attaquants, très probablement des membres du groupe Cuba ransomware, savent ce qu'ils font - et ils sont persistants", a déclaré Christopher Budd, directeur principal de la recherche sur les menaces chez Sophos. "Nous avons trouvé un total de dix pilotes malveillants, qui sont tous des variantes de la détection d'origine. Ces Chauffeurs montrent un effort concerté pour gagner en fiabilité, le plus ancien Chauffeur remontant au moins à juillet. Les pilotes les plus anciens que nous avons trouvés jusqu'à présent étaient signés avec des certificats d'entreprises chinoises inconnues. Après cela, ils ont réussi à signer le pilote avec un certificat NVIDIA valide, divulgué et révoqué.
Ils utilisent désormais un certificat numérique Windows Hardware Compatibility Publisher légitime de Microsoft, l'une des entités les plus fiables de l'écosystème Windows. Du point de vue de la sécurité de l'entreprise, les attaquants ont reçu des informations d'identification d'entreprise valides pour entrer dans le bâtiment sans poser de questions et faire ce qu'ils veulent », a poursuivi Christopher Budd.
Tentative d'arrêt du processus
Un examen plus approfondi des fichiers exécutables utilisés dans la tentative d'attaque par rançongiciel a révélé que le pilote signé malveillant avait été téléchargé sur le système cible à l'aide d'une variante du chargeur BURNTCIGAR, un logiciel malveillant connu appartenant au groupe de rançongiciels Cuba. Une fois que le chargeur a téléchargé le pilote sur le système, il attend le démarrage de l'un des 186 noms de fichiers exécutables différents couramment utilisés par les principaux progiciels de sécurité des terminaux et EDR, puis tente de tuer ces processus. En cas de succès, les attaquants peuvent déployer le ransomware.
Essayez de contourner tous les principaux produits EDR
"En 2022, nous avons observé que les attaquants de rançongiciels tentent de plus en plus de contourner les produits EDR de nombreux, sinon de la plupart, des principaux fabricants", a poursuivi Christopher Budd. «La technique la plus courante est connue sous le nom de« apportez votre propre pilote », que BlackByte utilise depuis peu. Les attaquants exploitent une vulnérabilité existante dans un pilote légitime. Il est beaucoup plus difficile de créer un pilote malveillant à partir de zéro et de le faire signer par une autorité légitime. Cependant, s'il réussit, il est incroyablement efficace, car le conducteur peut exécuter tous les processus qu'il souhaite sans être interrogé."
Pratiquement tous les logiciels EDR sont vulnérables
Dans le cas de ce pilote particulier, pratiquement tous les logiciels EDR sont vulnérables. Heureusement, les mesures de protection supplémentaires de Sophos ont pu arrêter l'attaque du ransomware. La communauté de la sécurité doit être consciente de cette menace afin de mettre en œuvre des mesures de sécurité supplémentaires. On peut supposer que d'autres attaquants imiteront ce modèle.
Plus sur Sophos.com
À propos de Sophos Plus de 100 millions d'utilisateurs dans 150 pays font confiance à Sophos. Nous offrons la meilleure protection contre les menaces informatiques complexes et la perte de données. Nos solutions de sécurité complètes sont faciles à déployer, à utiliser et à gérer. Ils offrent le coût total de possession le plus bas du secteur. Sophos propose des solutions de chiffrement primées, des solutions de sécurité pour les terminaux, les réseaux, les appareils mobiles, la messagerie et le Web. Vous bénéficiez également de l'assistance des SophosLabs, notre réseau mondial de centres d'analyse propriétaires. Le siège social de Sophos se trouve à Boston, aux États-Unis, et à Oxford, au Royaume-Uni.