ब्लैकबाइट ईडीआर समाधानों को "ब्रिंग योर ओन ड्राइवर" सिद्धांत के साथ हाईजैक करता है

सोफोस के सुरक्षा विशेषज्ञों ने अपेक्षाकृत युवा रैंसमवेयर गिरोह ब्लैकबाइट द्वारा एक नए घोटाले का पर्दाफाश किया। ये एंडपॉइंट डिटेक्शन एंड रिस्पांस (ईडीआर) समाधानों में उद्योग-व्यापी 1.000 से अधिक ड्राइवरों को बायपास करने के लिए "ब्रिंग योर ओन ड्राइवर" सिद्धांत का उपयोग करते हैं। सोफोस ने नई रिपोर्ट "सभी कॉलबैक हटाएं - BlackByte Ransomware RTCore64.sys दुर्व्यवहार के माध्यम से EDR को अक्षम करता है" में हमले की रणनीति, तकनीक और प्रक्रियाओं (TTPs) का वर्णन किया है।

ब्लैकबाइट, जिसे इस साल की शुरुआत में गुप्त सेवा और एफबीआई द्वारा एक विशेष रिपोर्ट में एक महत्वपूर्ण बुनियादी ढांचे के खतरे के रूप में पहचाना गया था, एक नई लीक साइट और नई जबरन वसूली की रणनीति के साथ एक संक्षिप्त अंतराल के बाद मई में फिर से उभरा। अब समूह ने जाहिर तौर पर हमले के नए तरीके भी विकसित कर लिए हैं।

भेद्यता EDR को निष्क्रिय करने की अनुमति देती है

विशेष रूप से, वे विंडोज सिस्टम के लिए एक ग्राफिक्स ड्राइवर RTCorec6.sys में भेद्यता का फायदा उठाते हैं। यह विशेष भेद्यता उन्हें लक्ष्य सिस्टम के कर्नेल के साथ सीधे संवाद करने की अनुमति देती है और इसे EDR प्रदाताओं द्वारा उपयोग किए जाने वाले कॉलबैक रूटीन को अक्षम करने के लिए आदेश देती है, साथ ही ETW (इवेंट ट्रेसिंग फॉर विंडोज) प्रदाता जिसे Microsoft-Windows-Threat-Intelligence कहा जाता है। EDR प्रदाता इस सुविधा का उपयोग आमतौर पर दुर्भावनापूर्ण रूप से दुर्व्यवहार करने वाले API कॉल के उपयोग की निगरानी के लिए करते हैं। एक बार इस सुविधा के अक्षम हो जाने पर, इस सुविधा के शीर्ष पर निर्मित EDR भी अक्षम हो जाएगा। सोफोस उत्पाद वर्णित हमले की रणनीति के खिलाफ सुरक्षा प्रदान करते हैं।

"यदि आप कंप्यूटर को एक किले के रूप में सोचते हैं, तो ETW कई EDR प्रदाताओं के लिए फ्रंट गेट पर गार्ड है। अगर गार्ड विफल रहता है, तो बाकी सिस्टम बेहद कमजोर होता है। और चूंकि ईटीडब्ल्यू का उपयोग कई विक्रेताओं द्वारा किया जाता है, ब्लैकबाइट के लिए संभावित लक्ष्यों का पूल बहुत बड़ा है," चेस्टर विस्नियुस्की, प्रिंसिपल रिसर्च साइंटिस्ट, सोफोस ने टिप्पणी की।

ब्लैकबाइट रैनसमवेयर समूह

BlackByte एकमात्र रैंसमवेयर समूह नहीं है जो सुरक्षा समाधानों को बायपास करने के लिए ब्रिंग योर ओन ड्राइवर का उपयोग कर रहा है। मई में, AvosLocker ने एंटीवायरस समाधानों को अक्षम करने के लिए दूसरे ड्राइवर में भेद्यता का फायदा उठाया।

"पूर्वव्यापी में, ऐसा प्रतीत होता है कि EDR चोरी रैंसमवेयर समूहों के लिए एक तेजी से लोकप्रिय तकनीक बन रही है, जो आश्चर्यजनक नहीं है। धमकी देने वाले अक्सर "आक्रामक सुरक्षा" द्वारा विकसित उपकरणों और तकनीकों का उपयोग तेजी से और न्यूनतम प्रयास के साथ हमले शुरू करने के लिए करते हैं। वास्तव में, ऐसा लगता है कि BlackByte को अपने EDR बाईपास कार्यान्वयन का कम से कम हिस्सा ओपन-सोर्स टूल EDRSandblast से विरासत में मिला है," विस्निवस्की ने टिप्पणी की। "यह देखते हुए कि साइबर अपराधी सुरक्षा उद्योग प्रौद्योगिकियों को अपना रहे हैं, रक्षकों के लिए नई चोरी और शोषण तकनीकों की निगरानी करना और इन तकनीकों के साइबर अपराध परिदृश्य में व्यापक होने से पहले काउंटर उपाय लागू करना महत्वपूर्ण है।

Sophos.com पर अधिक

 

---

सोफोस के बारे में

सोफोस पर 100 देशों में 150 मिलियन से अधिक उपयोगकर्ता भरोसा करते हैं। हम जटिल आईटी खतरों और डेटा हानि के विरुद्ध सर्वोत्तम सुरक्षा प्रदान करते हैं। हमारे व्यापक सुरक्षा समाधानों को तैनात करना, उपयोग करना और प्रबंधित करना आसान है। वे उद्योग में स्वामित्व की सबसे कम कुल लागत की पेशकश करते हैं। सोफोस पुरस्कार विजेता एन्क्रिप्शन समाधान, एंडपॉइंट, नेटवर्क, मोबाइल डिवाइस, ईमेल और वेब के लिए सुरक्षा समाधान प्रदान करता है। मालिकाना विश्लेषण केंद्रों के हमारे वैश्विक नेटवर्क सोफोसलैब्स से भी समर्थन प्राप्त है। सोफोस का मुख्यालय बोस्टन, यूएसए और ऑक्सफोर्ड, यूके में है।

---

 

विषय से संबंधित लेख