Os especialistas da Sophos descobriram 100 drivers maliciosos assinados pelo Microsoft Windows Hardware Compatibility Publisher (WHCP). A maioria são os chamados "assassinos de EDR" projetados especificamente para atacar e encerrar vários softwares de EDR/AV nos sistemas das vítimas.
Sophos X-Ops detectou 133 drivers maliciosos assinados com certificados digitais legítimos; 100 deles foram assinados pelo Microsoft Windows Hardware Compatibility Publisher (WHCP). Os drivers assinados pelo WHCP são inerentemente confiáveis por todos os sistemas Windows, permitindo que os invasores os instalem sem emitir um alerta e, em seguida, executem atividades maliciosas praticamente sem impedimentos.
Drivers paralisam software EDR e AV
🔎 Os certificados WHCP utilizados foram assinados oficialmente no início de 2022 (Imagem: Sophos).
Dos drivers encontrados, 81 eram os chamados "assassinos de EDR" projetados especificamente para atacar e encerrar vários softwares de EDR/AV nos sistemas das vítimas. Esses drivers são semelhantes aos descobertos anteriormente pela Sophos X-Ops em dezembro de 2022. Os drivers restantes - 32 dos quais foram assinados pelo WHCP - eram rootkits. Muitos desses programas são projetados para monitorar secretamente dados confidenciais enviados pela Internet. O X-Ops relatou imediatamente os drivers maliciosos à Microsoft após a descoberta e os problemas foram corrigidos com o Patch Tuesday mais recente.
Detalhes completos da investigação estão disponíveis no artigo do blog X—Ops. Esta postagem é uma continuação de uma postagem de dezembro de 2022 na qual Sophos, Mandiant e SentinelOne relataram que a Microsoft assinou vários drivers. Esses drivers visavam especificamente uma ampla variedade de software AV/EDR.
Aumento preocupante da atividade
“Desde outubro do ano passado, observamos um aumento preocupante na atividade de criminosos que exploram drivers assinados de forma maliciosa para realizar vários ataques cibernéticos, incluindo ransomware. Na época, presumimos que os invasores continuariam a explorar esse vetor de ataque, o que agora provou ser o caso. Como os drivers geralmente se comunicam com o 'núcleo' do sistema operacional e, portanto, são carregados antes do software de segurança, eles podem ser particularmente eficazes na desativação das medidas de segurança se forem mal utilizados - especialmente se forem assinados por uma autoridade confiável.
Muitos dos drivers maliciosos que detectamos foram projetados especificamente para atacar e 'desligar' produtos EDR, deixando os sistemas afetados vulneráveis a uma série de atividades maliciosas. É difícil obter uma assinatura para um driver mal-intencionado; portanto, essa técnica é usada principalmente por agentes de ameaças avançados em ataques direcionados. Além disso, esses drivers específicos não são específicos do fornecedor, eles visam uma ampla gama de software EDR. Por esse motivo, todas as equipes de segurança de TI precisam lidar com o assunto e implementar medidas de proteção adicionais, se necessário. É importante que as organizações implementem os patches fornecidos pela Microsoft no Patch Tuesday”, disse Christopher Budd, diretor de pesquisa de ameaças da Sophos X-Ops.
Mais em Sophos.com
Sobre a Sophos A Sophos tem a confiança de mais de 100 milhões de usuários em 150 países. Oferecemos a melhor proteção contra ameaças complexas de TI e perda de dados. Nossas soluções de segurança abrangentes são fáceis de implantar, usar e gerenciar. Eles oferecem o menor custo total de propriedade do setor. A Sophos oferece soluções de criptografia premiadas, soluções de segurança para endpoints, redes, dispositivos móveis, e-mail e web. Também há suporte da SophosLabs, nossa rede global de centros de análise proprietários. A sede da Sophos fica em Boston, EUA e Oxford, Reino Unido.