BYOVD (Bring Your Own Vulnerable Driver) все ще дуже популярний серед загрозливих акторів як EDR-кілер.
Однією з причин є те, що це підвищує перспективу атаки на рівні ядра, яка дає кіберзлочинцям широкий спектр можливостей – від приховування зловмисного програмного забезпечення до перегляду облікових даних для входу до спроби відключення рішень EDR. Фахівці з безпеки Sophos Андреас Клопш і Метт Віксі уважно дослідили, що відбувалося з інструментами Terminator за останні шість місяців, і підсумували їх у звіті «Це повернеться: зловмисники все ще зловживають інструментом і його варіантами Terminator».
Контрабанда водіїв
BYOVD — це клас атак, у яких зловмисники впроваджують відомі, але вразливі драйвери на скомпрометований комп’ютер, щоб отримати привілеї на рівні ядра. Кіберзлочинцям легко вибирати вразливі драйвери: наприклад, репозиторій з відкритим кодом loldrivers.io містить 364 записи для вразливих драйверів, включаючи відповідні підписи та хеші. Ця зручна ідентифікація відповідних драйверів є однією з причин, чому атаки BYOVD тепер не лише зарезервовані для високопрофесійних дійових осіб, але також можуть виконуватися менш досвідченими зловмисниками.
Іншою можливою причиною незмінної популярності BYOVD серед менш технічно досвідчених кіберзлочинців є той факт, що вони можуть придбати необхідні набори та інструменти майже з полиці на кримінальних форумах. Один із цих інструментів привернув особливу увагу в травні 2023 року, коли відомий загрозливий актор «spyboy» запропонував інструмент під назвою «Термінатор» на російськомовному форумі програм-вимагачів RAMP. Інструмент має коштувати від 300 до 3.000 доларів США та матиме можливість відключати 24 продукти безпеки.
Так компанії можуть захистити себе
Багато постачальників послуг безпеки зі списку Spyboy, включаючи Sophos, швидко вжили заходів, щоб дослідити варіанти драйверів і розробити заходи захисту. Sophos рекомендує чотири кроки, щоб захистити себе від атак BYOVD:
- ПеревіритиЧи має продукт Endpoint Security захист від несанкціонованого доступу.
- реалізація сувора гігієна в ролях безпеки Windows, оскільки атаки BYOVD зазвичай активуються через ескалацію привілеїв і обхід UAC.
- Всі операційні системи і програми завжди оновлені та видалення старішого програмного забезпечення.
- Aufnahme вразливий драйвер у програму керування вразливістю. Зловмисники можуть спробувати використати вразливі законні драйвери, які вже присутні у скомпрометованій системі.
Про Софос Sophos довіряють понад 100 мільйонів користувачів у 150 країнах. Ми пропонуємо найкращий захист від складних ІТ-загроз і втрати даних. Наші комплексні рішення безпеки прості в розгортанні, використанні та керуванні. Вони пропонують найнижчу сукупну вартість володіння в галузі. Sophos пропонує відзначені нагородами рішення для шифрування, рішення безпеки для кінцевих точок, мереж, мобільних пристроїв, електронної пошти та Інтернету. Також є підтримка від SophosLabs, нашої глобальної мережі власних аналітичних центрів. Штаб-квартири Sophos знаходяться в Бостоні, США, та Оксфорді, Великобританія.