最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

BlackByte勒索软件滥用合法驱动程序禁用安全产品

网络安全 快米云 来源:快米云 148浏览

BlackByte 勒索软件滥用合法驱动程序禁用安全产品

BlackByte 勒索软件团伙正在使用一种被研究人员称为“自带驱动程序”的新技术,该技术通过禁用各种安全解决方案使用的 1,000 多个驱动程序来绕过保护。

最近归因于该组织的攻击涉及一个版本的 MSI Afterburner RTCore64.sys 驱动程序,该驱动程序容易受到跟踪为 CVE-2019-16098的权限提升和代码执行漏洞的攻击。

利用该安全问题, BlackByte 可以禁用阻止多端点检测和响应 (EDR) 和防病毒产品正常运行的驱动程序

“自带易受攻击的驱动程序”(BYOVD)方法是有效的,因为易受攻击的驱动程序使用有效证书进行签名,并在系统上以高权限运行。

最近两个值得注意的 BYOVD 攻击示例包括 Lazarus滥用有缺陷的戴尔驱动程序 和未知黑客滥用 Genshin Impact 游戏的反作弊驱动程序/模块

攻击细节

网络安全公司 Sophos 的安全研究人员解释说,被滥用的 MSI 图形驱动程序提供了用户模式进程可以直接访问的 I/O 控制代码,这违反了微软关于内核内存访问的安全指南。

这使得攻击者可以在不使用 shellcode 或漏洞利用的情况下读取、写入或执行内核内存中的代码。

在攻击的第一阶段,BlackByte 识别内核版本以选择与内核 ID 匹配的正确偏移量。

识别内核以加载正确的偏移量
识别内核以加载正确的偏移量 (Sophos)

接下来,将 RTCore64.sys 放到“AppData\Roaming”中,并使用硬编码名称和随机选择的、不那么微妙的显示名称创建服务。

随机显示名称
进程的可能显示名称 (Sophos)

然后攻击者利用驱动程序的漏洞来删除与安全工具进程相对应的内核通知例程。

检索到的回调地址用于派生相应的驱动程序名称,并与支持 AV/EDR 工具功能的 1,000 个目标驱动程序列表进行比较。

通过用零覆盖保存回调函数地址的元素来删除在此阶段找到的任何匹配项,因此目标驱动程序无效。

内核通知例程如何工作
内核通知例程如何工作 (Sophos)

Sophos 还强调了 BlackByte 在这些攻击中采用的几种方法来逃避安全研究人员的分析,例如寻找在目标系统上运行的调试器的迹象并退出。

BlackByte 恶意软件还会检查 Avast、Sandboxie、Windows DbgHelp 库和 Comodo Internet Security 使用的挂钩 DLL 列表,如果找到则终止其执行。

系统管理员可以通过将特定的 MSI 驱动程序添加到活动阻止列表来防止 BlackByte 的新安全绕过技巧。

此外,管理员应监控所有驱动程序安装事件并经常检查它们以发现任何不匹配硬件的恶意注入。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » BlackByte勒索软件滥用合法驱动程序禁用安全产品