Na początku października badacze bezpieczeństwa Sophos opublikowali raport dotyczący wykrycia dość wyrafinowanej techniki służącej threat actorom omijaniu systemów bezpieczeństwa. Odkryta metoda, której użycie przypisano grupie ransomware o nazwie BlackByte, polega na wykorzystaniu sterownika o nazwie RTCore64.sys, będącego elementem popularnej aplikacji do tuningu kart graficznych – MSI Afterburner. Wspomniany plik (podpisany cyfrowo poprawnym certyfikatem) zapisywany jest na maszynie ofiary w katalogu „AppData\Roaming”, a persystencję w systemie operacyjnym zapewnia sobie poprzez utworzenie własnej usługi.
Sterownik ten posiada odkrytą w drugiej połowie 2019 roku podatność (CVE-2019-16098), pozwalającą na eskalację uprawnień oraz odczyt, zapis i wykonanie kodu w pamięci jądra systemu operacyjnego. Dzięki temu jest on w stanie odczytać z pamięci informacje o innych przechowywanych w niej sterownikach. Dane te są z kolei porównywane z listą 1000 znanych driverów wykorzystywanych przez rozwiązania AV/EDR i w przypadku trafienia na któryś z nich, jego komunikacja z jądrem systemu operacyjnego jest przerywana poprzez modyfikację adresów pamięci. Działanie to neutralizuje działanie systemu antywirusowego, pozostawiając zainfekowaną maszynę bez ochrony.
Źródło:
BlackByte ransomware abuses legit driver to disable security products
Remove All The Callbacks – BlackByte Ransomware Disables EDR Via RTCore64.sys Abuse
Potrzebujesz rozwiązań cyberbezpieczeństwa dla firmy – skontaktuj się z nami.