"Bring Your Own Vulnerable Driver", czyli jak omijać systemy zabezpieczeń za pomocą prawidłowego pliku sterownika

21 Października 2022

Na początku października badacze bezpieczeństwa Sophos opublikowali raport dotyczący wykrycia dość wyrafinowanej techniki służącej threat actorom omijaniu systemów bezpieczeństwa. Odkryta metoda, której użycie przypisano grupie ransomware o nazwie BlackByte, polega na wykorzystaniu sterownika o nazwie RTCore64.sys, będącego elementem popularnej aplikacji do tuningu kart graficznych – MSI Afterburner. Wspomniany plik (podpisany cyfrowo poprawnym certyfikatem) zapisywany jest na maszynie ofiary w katalogu „AppData\Roaming”, a persystencję w systemie operacyjnym zapewnia sobie poprzez utworzenie własnej usługi.

Sterownik ten posiada odkrytą w drugiej połowie 2019 roku podatność (CVE-2019-16098), pozwalającą na eskalację uprawnień oraz odczyt, zapis i wykonanie kodu w pamięci jądra systemu operacyjnego. Dzięki temu jest on w stanie odczytać z pamięci informacje o innych przechowywanych w niej sterownikach. Dane te są z kolei porównywane z listą 1000 znanych driverów wykorzystywanych przez rozwiązania AV/EDR i w przypadku trafienia na któryś z nich, jego komunikacja z jądrem systemu operacyjnego jest przerywana poprzez modyfikację adresów pamięci. Działanie to neutralizuje działanie systemu antywirusowego, pozostawiając zainfekowaną maszynę bez ochrony.

Źródło:

BlackByte ransomware abuses legit driver to disable security products
Remove All The Callbacks – BlackByte Ransomware Disables EDR Via RTCore64.sys Abuse

Opublikowane przez: CERT EXATEL

Inne artykuły_