Операторите на рансъмуер RansomHub вече използват нов зловреден софтуер, за да деактивират софтуера за сигурност за откриване и реагиране на крайни точки (EDR) при атаки от типа Bring Your Own Vulnerable Driver (BYOVD).

Наречен EDRKillShifter от изследователите по сигурността на Sophos, които го откриват по време на разследване на рансъмуер през май 2024 г., зловредният софтуер разполага легитимен, уязвим драйвер на целевите устройства, за да увеличи привилегиите си, да деактивира решенията за сигурност и да поеме контрола над системата.

Тази техника е много популярна сред различни  заплахи, вариращи от финансово мотивирани банди за рансъмуер до подкрепяни от държавата хакерски групи.

„По време на инцидента през май участниците в колектива – оценяваме с умерена увереност, че този инструмент се използва от множество нападатели – се опитаха да използват EDRKillShifter, за да прекратят защитата на Sophos на целевия компютър, но инструментът не успя“, каза изследователят на заплахи в Sophos Андреас Клопш.

„След това те се опитаха да стартират изпълнимия файл на ransomware на контролираната от тях машина, но и това се провали, когато се задейства функцията CryptoGuard на агента за крайни точки.“

По време на разследването Sophos откри два различни образеца, и двата с доказателство за концептуални експлойти, налични в GitHub: единият експлоатира уязвим драйвер, известен като RentDrv2, а другият – драйвер, наречен ThreatFireMonitor, компонент на остарял пакет за системен мониторинг.

Sophos също така установи, че EDRKillShifter може да доставя различни полезни товари за драйвери в зависимост от нуждите на нападателите и че езиковото свойство на зловредния софтуер предполага, че е компилиран на компютър с руска локализация.

Изпълнението на зареждащия файл включва три стъпки: първо, нападателят стартира двоичния файл EDRKillShifter с низ от пароли, за да декриптира и изпълни вграден ресурс с име BIN в паметта. След това този код се разопакова и изпълнява крайния полезен товар, който пуска и използва уязвим, легитимен драйвер, за да увеличи привилегиите и да деактивира активните процеси и услуги на EDR.

„След като зловредният софтуер създаде нова услуга за драйвера, стартира услугата и зареди драйвера, той влиза в безкраен цикъл, който непрекъснато изброява работещите процеси, като прекратява процесите, ако името им се появи в твърдо кодиран списък с цели“, добавя Клопш.

„Заслужава да се отбележи също така, че и двата варианта използват легитимни (макар и уязвими) драйвери, като използват доказателство за концептуални експлойти, достъпни в Github. Подозираме, че бандитите са копирали части от тези доказателства за концепцията, модифицирали са ги и са пренесли кода на езика Go.“

Sophos препоръчва да се активира защитата от подправяне в продуктите за защита на крайни точки, да се поддържа разделение между потребителските и администраторските права, за да се попречи на нападателите да зареждат уязвими драйвери, и да се поддържат системите актуализирани, като се има предвид, че Microsoft продължава да десертифицира подписани драйвери, за които е известно, че са били използвани неправомерно при предишни атаки.

Миналата година Sophos забеляза друг зловреден софтуер, убиващ EDR, наречен AuKill, който злоупотребяваше с уязвим драйвер на Process Explorer при атаките с рансъмуер Medusa Locker и LockBit. AuKill е подобен на инструмент с отворен код, известен като Backstab, който също използва уязвим драйвер на Process Explorer и е бил използван от бандата LockBit в поне една атака, наблюдавана от Sophos X-Ops.