Gli esperti di Sophos hanno scoperto 100 driver dannosi firmati da Microsoft Windows Hardware Compatibility Publisher (WHCP). La maggior parte sono i cosiddetti "killer EDR" specificamente progettati per attaccare e terminare vari software EDR/AV sui sistemi delle vittime.
Sophos X-Ops ha rilevato 133 driver dannosi firmati con certificati digitali legittimi; 100 di questi sono stati firmati da Microsoft Windows Hardware Compatibility Publisher (WHCP). I driver firmati WHCP sono intrinsecamente considerati affidabili da ogni sistema Windows, consentendo agli aggressori di installarli senza generare un avviso e quindi svolgere attività dannose praticamente senza ostacoli.
I driver paralizzano il software EDR e AV
🔎 I certificati WHCP utilizzati sono stati firmati ufficialmente all'inizio del 2022 (Immagine: Sophos).
Dei driver trovati, 81 erano i cosiddetti "killer EDR" specificamente progettati per attaccare e terminare vari software EDR/AV sui sistemi delle vittime. Questi driver sono simili a quelli scoperti in precedenza da Sophos X-Ops nel dicembre 2022. I restanti driver, 32 dei quali firmati da WHCP, erano rootkit. Molti di questi programmi sono progettati per monitorare segretamente i dati sensibili inviati su Internet. X-Ops ha immediatamente segnalato i driver dannosi a Microsoft dopo la scoperta e i problemi sono stati risolti con l'ultimo Patch Tuesday.
I dettagli completi dell'indagine sono disponibili nell'articolo del blog X—Ops. Questo post fa seguito a un post del dicembre 2022 in cui Sophos, Mandiant e SentinelOne hanno segnalato che Microsoft ha firmato più driver. Questi driver miravano specificamente a un'ampia gamma di software AV/EDR.
Aumento preoccupante dell'attività
"Dall'ottobre dello scorso anno, abbiamo osservato un preoccupante aumento dell'attività da parte di criminali che sfruttano driver firmati in modo dannoso per eseguire vari attacchi informatici, incluso il ransomware. All'epoca pensavamo che gli aggressori avrebbero continuato a sfruttare questo vettore di attacco, cosa che ora si è dimostrata essere il caso. Poiché i driver spesso comunicano con il "core" del sistema operativo e vengono quindi caricati prima del software di sicurezza, possono essere particolarmente efficaci nel disabilitare le misure di sicurezza se utilizzati in modo improprio, specialmente se sono firmati da un'autorità attendibile.
Molti dei driver dannosi che abbiamo rilevato sono stati specificamente progettati per attaccare e "disattivare" i prodotti EDR, lasciando i sistemi interessati vulnerabili a una serie di attività dannose. È difficile ottenere una firma per un driver dannoso, quindi questa tecnica viene utilizzata principalmente da attori di minacce avanzate in attacchi mirati. Inoltre, questi particolari driver non sono specifici del fornitore, si rivolgono a un'ampia gamma di software EDR. Per questo motivo, tutti i team di sicurezza IT devono affrontare l'argomento e implementare ulteriori misure di protezione, se necessario. È importante che le organizzazioni implementino le patch fornite da Microsoft il Patch Tuesday”, ha dichiarato Christopher Budd, Director of Threat Research presso Sophos X-Ops.
Maggiori informazioni su Sophos.com
A proposito di Sophos Sophos gode della fiducia di oltre 100 milioni di utenti in 150 paesi. Offriamo la migliore protezione contro le minacce informatiche complesse e la perdita di dati. Le nostre soluzioni di sicurezza complete sono facili da implementare, utilizzare e gestire. Offrono il costo totale di proprietà più basso del settore. Sophos offre soluzioni di crittografia pluripremiate, soluzioni di sicurezza per endpoint, reti, dispositivi mobili, e-mail e web. C'è anche il supporto dei SophosLabs, la nostra rete globale di centri di analisi proprietari. Le sedi di Sophos sono a Boston, USA e Oxford, UK.