BYOVD (Bring Your Own Vulnerable Driver) ainda são muito populares entre os atores de ameaças como assassinos de EDR.
Uma das razões é que isto levanta a possibilidade de um ataque ao nível do kernel, o que dá aos cibercriminosos uma ampla gama de opções – desde ocultar malware até espionar credenciais de login e tentar desativar soluções EDR. Os especialistas em segurança da Sophos, Andreas Klopsch e Matt Wixey, examinaram de perto o que tem acontecido com as ferramentas Terminator nos últimos seis meses e resumiram-no no relatório “Estará de volta: Atacantes ainda abusam da ferramenta Terminator e variantes”.
Contrabando de motoristas
BYOVD é uma classe de ataque em que os agentes de ameaças injetam drivers conhecidos, porém vulneráveis, em um computador comprometido para obter privilégios no nível do kernel. Os cibercriminosos têm facilidade em escolher drivers vulneráveis: por exemplo, o repositório de código aberto loldrivers.io lista 364 entradas para drivers vulneráveis, incluindo as assinaturas e hashes correspondentes. Esta identificação conveniente de drivers adequados é uma das razões pelas quais os ataques BYOVD agora não são reservados apenas para agentes de ameaças altamente profissionais, mas também podem ser realizados por invasores de ransomware menos sofisticados.
Outra possível razão para a popularidade contínua do BYOVD entre os cibercriminosos menos proficientes tecnicamente é o fato de que eles podem comprar os kits e ferramentas de que precisam quase prontos para uso em fóruns criminais. Uma dessas ferramentas atraiu atenção especial em maio de 2023, quando o conhecido agente de ameaças “spyboy” ofereceu uma ferramenta chamada Terminator no fórum de ransomware em russo RAMP. A ferramenta deve custar entre US$ 300 e US$ 3.000 e deve ser capaz de desabilitar 24 produtos de segurança.
É assim que as empresas podem se proteger
Muitos dos provedores de segurança na lista do spyboy, incluindo a Sophos, agiram rapidamente para investigar variantes de drivers e desenvolver medidas de proteção. A Sophos recomenda quatro etapas para se proteger contra ataques BYOVD:
- considerarSe o produto de segurança de endpoint implementou proteção contra adulteração.
- Implementação higiene rigorosa nas funções de segurança do Windows, já que os ataques BYOVD geralmente são habilitados por meio de escalonamento de privilégios e desvio de UAC.
- Todos os sistemas operacionais e aplicativos sempre atualizados e remoção de softwares mais antigos.
- Gravação driver vulnerável no programa de gerenciamento de vulnerabilidades. Os atores da ameaça podem tentar explorar drivers legítimos vulneráveis já presentes em um sistema comprometido.
Sobre a Sophos A Sophos tem a confiança de mais de 100 milhões de usuários em 150 países. Oferecemos a melhor proteção contra ameaças complexas de TI e perda de dados. Nossas soluções de segurança abrangentes são fáceis de implantar, usar e gerenciar. Eles oferecem o menor custo total de propriedade do setor. A Sophos oferece soluções de criptografia premiadas, soluções de segurança para endpoints, redes, dispositivos móveis, e-mail e web. Também há suporte da SophosLabs, nossa rede global de centros de análise proprietários. A sede da Sophos fica em Boston, EUA e Oxford, Reino Unido.