Фахівці з безпеки з Sophos виявили нову аферу відносно молодої групи програм-вимагачів BlackByte. Вони використовують принцип «Принесіть свій власний драйвер», щоб обійти понад 1.000 драйверів, які використовуються в рішеннях для виявлення та реагування кінцевих точок (EDR) у всій галузі. Sophos описує тактику, прийоми та процедури атаки (TTP) у новому звіті «Видалити всі зворотні виклики – BlackByte Ransomware вимикає EDR через зловживання RTCore64.sys».
BlackByte, який був визначений як критична загроза інфраструктурі в спеціальному звіті Секретної служби та ФБР на початку цього року, знову з’явився в травні після короткої перерви з новим сайтом витоку та новою тактикою вимагання. Тепер група, очевидно, також розробила нові методи атаки.
Уразливість дозволяє дезактивувати EDR
Зокрема, вони використовують вразливість у RTCorec6.sys, графічному драйвері для систем Windows. Ця конкретна вразливість дозволяє їм безпосередньо спілкуватися з ядром цільової системи та наказувати йому вимкнути процедури зворотного виклику, які використовуються постачальниками EDR, а також постачальником ETW (Event Tracing for Windows) під назвою Microsoft-Windows-Threat-Intelligence. Постачальники EDR використовують цю функцію, щоб контролювати використання викликів API, які зазвичай зловживають. Після вимкнення цієї функції EDR, створений на основі цієї функції, також буде вимкнено. Продукти Sophos пропонують захист від описаної тактики атак.
«Якщо ви думаєте про комп’ютери як про фортецю, ETW є охоронцем на передніх воротах для багатьох постачальників EDR. Якщо охоронець виходить з ладу, решта системи стає надзвичайно вразливою. А оскільки ETW використовується багатьма постачальниками, пул потенційних цілей для BlackByte величезний», — прокоментував Честер Вишневскі, головний науковий співробітник Sophos.
Група програм-вимагачів BlackByte
BlackByte — не єдина група програм-вимагачів, яка використовує Bring Your Own Driver для обходу рішень безпеки. У травні AvosLocker використав вразливість в іншому драйвері, щоб відключити антивірусні рішення.
«Оглядаючись назад, здається, що ухилення від EDR стає все більш популярною технікою для груп програм-вимагачів, що не дивно. Зловмисники часто використовують інструменти та методи, розроблені «наступальною безпекою», щоб запускати атаки швидше та з мінімальними зусиллями. Насправді BlackByte, схоже, успадкував принаймні частину реалізації обходу EDR від інструменту з відкритим кодом EDRSandblast», — коментує Вишневський. «З огляду на те, що кіберзлочинці адаптують технології індустрії безпеки, для захисників вкрай важливо стежити за новими методами ухилення та експлуатації та вживати контрзаходи до того, як ці методи набудуть широкого поширення на сцені кіберзлочинності.
Більше на Sophos.com
Про Софос Sophos довіряють понад 100 мільйонів користувачів у 150 країнах. Ми пропонуємо найкращий захист від складних ІТ-загроз і втрати даних. Наші комплексні рішення безпеки прості в розгортанні, використанні та керуванні. Вони пропонують найнижчу сукупну вартість володіння в галузі. Sophos пропонує відзначені нагородами рішення для шифрування, рішення безпеки для кінцевих точок, мереж, мобільних пристроїв, електронної пошти та Інтернету. Також є підтримка від SophosLabs, нашої глобальної мережі власних аналітичних центрів. Штаб-квартири Sophos знаходяться в Бостоні, США, та Оксфорді, Великобританія.