Експерти Sophos виявили 100 шкідливих драйверів, підписаних Microsoft Windows Hardware Compatibility Publisher (WHCP). Більшість із них є так званими «вбивцями EDR», спеціально розробленими для атаки та припинення роботи різного програмного забезпечення EDR/AV у системах жертв.
Sophos X-Ops виявила 133 шкідливі драйвери, підписані законними цифровими сертифікатами; 100 з них були підписані Microsoft Windows Hardware Compatibility Publisher (WHCP). Драйвери, підписані WHCP, за своєю суттю довіряють кожній системі Windows, що дозволяє зловмисникам встановлювати їх без попередження, а потім практично безперешкодно здійснювати шкідливі дії.
Драйвери паралізують програмне забезпечення EDR та AV
🔎 Використані сертифікати WHCP були офіційно підписані на початку 2022 року (Зображення: Sophos).
Зі знайдених драйверів 81 були так званими «вбивцями EDR», спеціально розробленими для атаки та завершення роботи різного програмного забезпечення EDR/AV у системах жертв. Ці драйвери схожі на драйвери, раніше виявлені Sophos X-Ops у грудні 2022 року. Решта драйверів, 32 з яких були підписані WHCP, були руткітами. Багато з цих програм призначені для таємного моніторингу конфіденційних даних, які надсилаються через Інтернет. X-Ops негайно повідомила Microsoft про шкідливі драйвери після виявлення, і проблеми були виправлені в останньому патчі у вівторок.
Повні подробиці розслідування доступні в статті блогу X—Ops. Ця публікація є продовженням публікації від грудня 2022 року, в якій Sophos, Mandiant і SentinelOne повідомили про підписання Microsoft кількома драйверами. Ці драйвери спеціально націлені на широкий спектр програмного забезпечення AV/EDR.
Тривожне підвищення активності
«З жовтня минулого року ми спостерігаємо тривожне зростання активності злочинців, які використовують драйвери зі зловмисним підписом для здійснення різноманітних кібератак, у тому числі програм-вимагачів. У той час ми припускали, що зловмисники продовжуватимуть використовувати цей вектор атаки, що тепер підтвердилося. Оскільки драйвери часто взаємодіють із «ядром» операційної системи й, таким чином, завантажуються перед програмним забезпеченням безпеки, вони можуть бути особливо ефективними у відключенні заходів безпеки у разі неправильного використання, особливо якщо вони підписані довіреним центром.
Багато шкідливих драйверів, які ми виявили, були спеціально розроблені для атаки та «вимкнення» продуктів EDR, роблячи уражені системи вразливими до ряду шкідливих дій. Важко отримати підпис для шкідливого драйвера, тому ця техніка в основному використовується досвідченими суб’єктами загроз у цілеспрямованих атаках. Крім того, ці конкретні драйвери не залежать від постачальника, вони націлені на широкий спектр програмного забезпечення EDR. З цієї причини всі команди ІТ-безпеки мають займатися цією темою та запроваджувати додаткові захисні заходи, якщо це необхідно. Організаціям важливо впровадити виправлення, надані корпорацією Майкрософт у Patch Tuesday», — сказав Крістофер Бадд, директор із дослідження загроз у Sophos X-Ops.
Більше на Sophos.com
Про Софос Sophos довіряють понад 100 мільйонів користувачів у 150 країнах. Ми пропонуємо найкращий захист від складних ІТ-загроз і втрати даних. Наші комплексні рішення безпеки прості в розгортанні, використанні та керуванні. Вони пропонують найнижчу сукупну вартість володіння в галузі. Sophos пропонує відзначені нагородами рішення для шифрування, рішення безпеки для кінцевих точок, мереж, мобільних пристроїв, електронної пошти та Інтернету. Також є підтримка від SophosLabs, нашої глобальної мережі власних аналітичних центрів. Штаб-квартири Sophos знаходяться в Бостоні, США, та Оксфорді, Великобританія.