Η ομάδα ransomware ALPHV (γνωστή και ως BlackCat) παρατηρήθηκε ότι χρησιμοποιεί υπογεγραμμένους, κακόβουλους Windows kernel drivers για να αποφύγει την ανίχνευση από το λογισμικό ασφαλείας κατά τη διάρκεια των επιθέσεων.

Δείτε επίσης: Emotet: Χρησιμοποιείται από τις ransomware συμμορίες Quantum και BlackCat

Ο driver που εντοπίστηκε από την Trend Micro είναι μια βελτιωμένη έκδοση του κακόβουλου λογισμικού με την ονομασία “POORTRY”, το οποίο οι Microsoft, Mandiant, Sophos και SentinelOne είχαν εντοπίσει σε επιθέσεις ransomware στα τέλη του περασμένου έτους.

Το POORTRY malware είναι ένας Windows kernel driver που υπογράφεται με τη χρήση κλεμμένων κλειδιών που ανήκουν σε νόμιμους λογαριασμούς στο Πρόγραμμα Ανάπτυξης Υλικού των Windows της Microsoft.

Αυτός ο κακόβουλος driver, που χρησιμοποιήθηκε από την ομάδα hacking UNC3944 (επίσης γνωστή ως 0ktapus και Scattered Spider), χρησιμοποιήθηκε για να τερματίσει το λογισμικό ασφαλείας που εκτελείται σε μια συσκευή Windows, προκειμένου να αποφύγει την ανίχνευση.

Δείτε επίσης: Το εργαλείο data exfiltration του BlackCat ransomware αναβαθμίζεται

Ενώ το λογισμικό ασφαλείας συνήθως προστατεύεται από τον τερματισμό ή την αλλοίωση, καθώς οι Windows kernel drivers εκτελούνται με τα υψηλότερα προνόμια στο λειτουργικό σύστημα, μπορούν να χρησιμοποιηθούν για τον τερματισμό σχεδόν οποιασδήποτε διεργασίας.

Η Trend Micro δήλωσε ότι οι φορείς του ransomware προσπάθησαν να χρησιμοποιήσουν το υπογεγραμμένο από τη Microsoft πρόγραμμα οδήγησης POORTRY, αλλά λόγω της δημοσιότητας που έλαβε και της επακόλουθης ανάκλησης των κλειδιών υπογραφής του κώδικα, τα ποσοστά εντοπισμού του ήταν υψηλά.

Ως εκ τούτου, οι χάκερ χρησιμοποίησαν μια ενημερωμένη έκδοση του POORTRY kernel driver, υπογεγραμμένη με τη χρήση ενός κλεμμένου ή διαρρεύσαντος πιστοποιητικού διασταυρούμενης υπογραφής.

Ο νέος driver που χρησιμοποιείται από την επιχείρηση BlackCat ransomware την βοηθά να αυξήσει τα προνόμιά της σε μολυσμένα μηχανήματα και στη συνέχεια να σταματήσουν διεργασίες που σχετίζονται με πράκτορες ασφαλείας.

Επιπλέον, μπορεί να παρέχει μια χαλαρή σύνδεση μεταξύ της συμμορίας ransomware και της ομάδας hacking UNC3944/Scattered Spider.

Δείτε επίσης: ALPHV BlackCat: Κλωνοποιεί site θύματος για διαρροή δεδομένων

Ο κακόβουλος Windows kernel driver

Ο υπογεγραμμένος driver που εντοπίστηκε από την Trend Micro στις επιθέσεις BlackCat του Φεβρουαρίου 2023 είναι ο “ktgn.sys”, ο οποίος τοποθετήθηκε στο σύστημα αρχείων του θύματος στο φάκελο %Temp% και στη συνέχεια φορτώθηκε από ένα πρόγραμμα χρήστη με το όνομα “tjr.exe”

Οι αναλυτές λένε ότι η ψηφιακή υπογραφή του ktgn.sys έχει ανακληθεί- ωστόσο, ο driver εξακολουθεί να φορτώνεται χωρίς πρόβλημα σε συστήματα Windows 64-bit με επιβαλλόμενες πολιτικές υπογραφής.

Ο κακόβουλος driver του πυρήνα εκθέτει μια διεπαφή IOCTL, επιτρέποντας στο user mode client, tjr.exe, να εκδίδει εντολές που ο driver θα εκτελεί με προνόμια του πυρήνα των Windows.

Οι αναλυτές της Trend Micro παρατήρησαν τις εκτεθειμένες ακόλουθες εντολές που μπορούν να εκδοθούν στον driver:

  1. Ενεργοποίηση driver
  2. Απενεργοποιίηση του driver αφού το user mode client ολοκληρώσει την λειτουργία
  3. Σκότωσε κάθε διεργασία user-mode
  4. Διαγράψτε συγκεκριμένα file path
  5. Αναγκαστική διαγραφή ενός αρχείου ελευθερώνοντας τις λαβές του και τερματίζοντας τις διεργασίες που εκτελούνται χρησιμοποιώντας το
  6. Αντιγραφή αρχείων
  7. Αναγκαστική αντιγραφή αρχείων χρησιμοποιώντας παρόμοιο μηχανισμό για force-delete
  8. Καταχώριση των ανακλήσεων Process/Thread Notification
  9. Κατάργηση εγγραφής επανακλήσεων Process/Thread Notification
  10. Reboot the system by calling the ‘HalReturnToFirmware’ API

Η Trend Micro σχολιάζει ότι οι δύο εντολές που χρησιμοποιούνται για τα Process/Thread Notification callbacks δεν λειτουργούν, γεγονός που υποδηλώνει ότι ο driver βρίσκεται υπό ανάπτυξη ή ακόμα σε φάση δοκιμών.

Συνιστάται στους system administrators να χρησιμοποιούν τα  indicators of compromise που κοινοποιεί η Trend Micro και να προσθέτουν τους κακόβουλους drivers που χρησιμοποιούνται από τους φορείς ransomware στη λίστα αποκλεισμού Windows driver.

Οι διαχειριστές των Windows θα πρέπει επίσης να διασφαλίσουν ότι είναι ενεργοποιημένη η λειτουργία “Driver Signature Enforcement”, η οποία εμποδίζει την εγκατάσταση οποιουδήποτε driver που δεν διαθέτει έγκυρη ψηφιακή υπογραφή.

Πηγή πληροφοριών: bleepingcomputer.com