I BYOVD (Bring Your Own Vulnerable Driver) sono ancora molto popolari tra gli autori di minacce come killer EDR.
Uno dei motivi è che ciò aumenta la prospettiva di un attacco a livello di kernel, che offre ai criminali informatici un’ampia gamma di opzioni: dall’occultamento del malware allo spionaggio delle credenziali di accesso al tentativo di disabilitare le soluzioni EDR. Gli specialisti di sicurezza di Sophos Andreas Klopsch e Matt Wixey hanno esaminato attentamente cosa è successo con gli strumenti Terminator negli ultimi sei mesi e li hanno riassunti nel rapporto “Tornerà: gli aggressori continuano ad abusare dello strumento Terminator e delle sue varianti”.
Contrabbando di conducenti
BYOVD è una classe di attacco in cui gli autori delle minacce inseriscono driver noti ma vulnerabili in un computer compromesso per ottenere privilegi a livello di kernel. I criminali informatici hanno vita facile nella scelta dei driver vulnerabili: ad esempio, il repository open source loldrivers.io elenca 364 voci per driver vulnerabili, comprese le firme e gli hash corrispondenti. Questa comoda identificazione dei driver idonei è uno dei motivi per cui gli attacchi BYOVD ora non sono riservati solo ad autori di minacce altamente professionali, ma possono anche essere sferrati da aggressori ransomware meno sofisticati.
Un'altra possibile ragione della continua popolarità di BYOVD tra i criminali informatici meno competenti dal punto di vista tecnico è il fatto che possono acquistare i kit e gli strumenti di cui hanno bisogno quasi pronti per l'uso sui forum criminali. Uno di questi strumenti ha attirato particolare attenzione nel maggio 2023, quando il noto attore di minacce “spyboy” ha offerto uno strumento chiamato Terminator sul forum di ransomware in lingua russa RAMP. Lo strumento dovrebbe costare tra i 300 e i 3.000 dollari e dovrebbe essere in grado di disabilitare 24 prodotti di sicurezza.
Ecco come le aziende possono tutelarsi
Molti dei fornitori di sicurezza presenti nell'elenco di Spyboy, tra cui Sophos, hanno agito rapidamente per indagare sulle varianti dei driver e sviluppare misure di protezione. Sophos consiglia quattro passaggi per proteggersi dagli attacchi BYOVD:
- prendere in considerazioneSe il prodotto per la sicurezza degli endpoint ha implementato la protezione dalle manomissioni.
- Implementazione rigorosa igiene nei ruoli di sicurezza di Windows, poiché gli attacchi BYOVD sono generalmente abilitati tramite l'escalation dei privilegi e il bypass dell'UAC.
- Tutti i sistemi operativi e applicazioni sempre aggiornate e la rimozione dei software più vecchi.
- Registrazione driver vulnerabile nel programma di gestione delle vulnerabilità. Gli autori delle minacce potrebbero tentare di sfruttare driver legittimi vulnerabili già presenti su un sistema compromesso.
A proposito di Sophos Sophos gode della fiducia di oltre 100 milioni di utenti in 150 paesi. Offriamo la migliore protezione contro le minacce informatiche complesse e la perdita di dati. Le nostre soluzioni di sicurezza complete sono facili da implementare, utilizzare e gestire. Offrono il costo totale di proprietà più basso del settore. Sophos offre soluzioni di crittografia pluripremiate, soluzioni di sicurezza per endpoint, reti, dispositivi mobili, e-mail e web. C'è anche il supporto dei SophosLabs, la nostra rete globale di centri di analisi proprietari. Le sedi di Sophos sono a Boston, USA e Oxford, UK.