Sophos запобігає атакам програм-вимагачів за допомогою рідкісного шкідливого драйвера, але підписаного дійсним цифровим сертифікатом Microsoft. Драйвер націлений на процеси виявлення та реагування кінцевих точок (EDR). Атака пов'язана з Cuba Ransomware Group.
Sophos виявила шкідливий код у кількох драйверах, підписаних законними цифровими сертифікатами. У новому звіті «Зловмисне програмне забезпечення з підписом драйвера просувається вгору по ланцюжку довіри програмного забезпечення» докладно розповідається про розслідування, яке почалося зі спроби атаки програм-вимагачів. Зловмисники використовували шкідливий драйвер, який був підписаний законним цифровим сертифікатом Windows Hardware Compatibility Publisher від Microsoft.
Шкідливі драйвери з дійсними сертифікатами Microsoft
Шкідливий драйвер спеціально націлений на процеси, які використовуються ключовими пакетами програмного забезпечення для виявлення та реагування на кінцеві точки (EDR). Його було встановлено зловмисним програмним забезпеченням, пов’язаним із загрозливими суб’єктами, пов’язаними з Cuba Ransomware Group – плідною групою, яка за останній рік успішно атакувала понад 100 компаній у всьому світі. Sophos Rapid Response успішно запобігла нападу. Це розслідування ініціювало широку співпрацю між Sophos і Microsoft, щоб вжити заходів і усунути загрозу.
Видача вкраденого сертифіката
Драйвери можуть виконувати в системах дуже привілейовані операції. Крім усього іншого, драйвери режиму ядра можуть завершувати роботу багатьох типів програмного забезпечення, включаючи програмне забезпечення безпеки. Контроль того, які драйвери можна завантажити, є одним із способів захисту комп’ютерів від такого типу атак. Windows вимагає, щоб драйвери мали криптографічний підпис — «штамп затвердження» — перед завантаженням драйвера.
Однак не всі цифрові сертифікати, які використовуються для підпису драйверів, однаково довіряють. Деякі викрадені та злиті сертифікати цифрового підпису пізніше були використані для підпису зловмисного програмного забезпечення; інші сертифікати були придбані та використані недобросовісними виробниками програмного забезпечення PUA. Розслідування Sophos щодо шкідливого драйвера, який використовувався для саботування інструментів безпеки кінцевих точок під час атаки програм-вимагачів, показало, що зловмисники вжили спільних зусиль, щоб перейти від менш надійних цифрових сертифікатів до більш надійних.
Швидше за все, причетна Куба
«Ці зловмисники, швидше за все, члени групи програм-вимагачів Cuba, знають, що роблять, і вони наполегливі», — сказав Крістофер Бадд, старший менеджер із дослідження загроз у Sophos. «Ми знайшли загалом десять шкідливих драйверів, усі з яких є варіантами початкового виявлення. Ці драйвери демонструють узгоджені зусилля, щоб підвищити надійність, причому найстаріший драйвер датується принаймні липнем. Найстаріші драйвери, які ми знайшли, були підписані сертифікатами невідомих китайських компаній. Після цього їм вдалося підписати драйвер дійсним, витік і відкликаним сертифікатом NVIDIA.
Тепер вони використовують законний цифровий сертифікат видавця сумісності апаратного забезпечення Windows від Microsoft, однієї з найбільш надійних організацій в екосистемі Windows. Якщо дивитися на це з точки зору корпоративної безпеки, зловмисники отримали дійсні корпоративні облікові дані, щоб беззаперечно входити в будівлю і робити те, що їм заманеться», – продовжив Крістофер Бадд.
Спроба завершити процес
Ретельніше дослідження виконуваних файлів, використаних у спробі атаки програм-вимагачів, виявило, що шкідливий підписаний драйвер було завантажено в цільову систему за допомогою варіанту завантажувача BURNTCIGAR, відомого зловмисного програмного забезпечення, що належить групі програм-вимагачів Cuba. Після того, як завантажувач завантажив драйвер у систему, він очікує запуску одного з 186 різних імен виконуваних файлів, які зазвичай використовуються програмними пакетами безпеки ключових кінцевих точок і EDR, а потім намагається припинити ці процеси. У разі успіху зловмисники можуть розгорнути програму-вимагач.
Спроба обійти всі основні продукти EDR
«У 2022 році ми помітили, що зловмисники все частіше намагаються обійти продукти EDR багатьох, якщо не більшості, великих виробників», — продовжив Крістофер Бадд. «Найпоширеніша техніка відома як «принеси свій власний драйвер», яку нещодавно використовує BlackByte. Зловмисники використовують існуючу вразливість у законному драйвері. Набагато складніше створити з нуля шкідливий драйвер і отримати його підпис від законного органу. Однак, якщо це вдається, це неймовірно ефективно, оскільки драйвер може запускати будь-які процеси, які забажає, не ставлячись під сумнів».
Практично все програмне забезпечення EDR є вразливим
У випадку цього конкретного драйвера практично будь-яке програмне забезпечення EDR є вразливим. На щастя, додаткові заходи захисту від несанкціонованого доступу від Sophos змогли зупинити атаку програм-вимагачів. Співтовариство безпеки має знати про цю загрозу, щоб запровадити додаткові заходи безпеки. Можна припустити, що інші зловмисники наслідуватимуть цю модель».
Більше на Sophos.com
Про Софос Sophos довіряють понад 100 мільйонів користувачів у 150 країнах. Ми пропонуємо найкращий захист від складних ІТ-загроз і втрати даних. Наші комплексні рішення безпеки прості в розгортанні, використанні та керуванні. Вони пропонують найнижчу сукупну вартість володіння в галузі. Sophos пропонує відзначені нагородами рішення для шифрування, рішення безпеки для кінцевих точок, мереж, мобільних пристроїв, електронної пошти та Інтернету. Також є підтримка від SophosLabs, нашої глобальної мережі власних аналітичних центрів. Штаб-квартири Sophos знаходяться в Бостоні, США, та Оксфорді, Великобританія.