RansomHub fidye yazılımı operatörleri, Bring Your Own Vulnerable Driver (BYOVD) saldırılarında Uç Nokta Algılama ve Müdahale (EDR) güvenlik yazılımını devre dışı bırakmak için artık yeni kötü amaçlı yazılımlar kullanıyor.
Sophos güvenlik araştırmacılarının Mayıs 2024’teki bir fidye yazılımı araştırması sırasında keşfettikleri EDRKillShifter adlı kötü amaçlı yazılım, hedeflenen cihazlara meşru ve güvenlik açığı olan bir sürücü dağıtarak ayrıcalıkları artırıyor, güvenlik çözümlerini devre dışı bırakıyor ve sistemin kontrolünü ele geçiriyor.
Bu teknik, finansal amaçlı fidye yazılımı çetelerinden devlet destekli bilgisayar korsanı gruplarına kadar çeşitli tehdit aktörleri arasında oldukça popülerdir.
Sophos tehdit araştırmacısı Andreas Klopsch, “Mayıs ayındaki olayda, tehdit aktörleri (bu aracın birden fazla saldırgan tarafından kullanıldığını orta düzeyde güvenle tahmin ediyoruz) hedef bilgisayardaki Sophos korumasını sonlandırmak için EDRKillShifter’ı kullanmaya çalıştılar, ancak araç başarısız oldu” dedi.
“Daha sonra kontrol ettikleri makinede fidye yazılımının yürütülebilir dosyasını çalıştırmayı denediler, ancak uç nokta aracısının CryptoGuard özelliği tetiklendiğinde bu da başarısız oldu.”
Sophos, araştırma sırasında GitHub’da bulunan kavram kanıtı istismarlarını içeren iki farklı örnek keşfetti: Biri RentDrv2 olarak bilinen güvenlik açığı olan bir sürücüyü, diğeri ise kullanım dışı bırakılmış bir sistem izleme paketinin bir bileşeni olan ThreatFireMonitor adlı bir sürücüyü istismar ediyordu.
Sophos ayrıca EDRKillShifter’ın saldırganların ihtiyaçlarına göre çeşitli sürücü yükleri sunabildiğini ve kötü amaçlı yazılımın dil özelliğinin, Rusça yerelleştirilmiş bir bilgisayarda derlendiğini gösterdiğini tespit etti.
Yükleyicinin yürütülmesi üç adımdan oluşur: ilk olarak, saldırgan bellekteki BIN adlı gömülü bir kaynağı şifresini çözmek ve yürütmek için bir parola dizesiyle EDRKillShifter ikilisini başlatır. Bu kod daha sonra son yükü açar ve yürütür, bu da ayrıcalıkları yükseltmek ve etkin EDR süreçlerini ve hizmetlerini devre dışı bırakmak için savunmasız, meşru bir sürücüyü düşürür ve kullanır.
Klopsch, “Kötü amaçlı yazılım sürücü için yeni bir hizmet oluşturduktan, hizmeti başlattıktan ve sürücüyü yükledikten sonra, çalışan işlemleri sürekli olarak sıralayan ve adı sabit kodlanmış hedef listesinde görünüyorsa işlemleri sonlandıran sonsuz bir döngüye giriyor” diye ekledi.
“Her iki varyantın da Github’da bulunan kavram kanıtı istismarlarını kullanarak meşru (ancak savunmasız) sürücüleri istismar ettiğini belirtmekte fayda var. Tehdit aktörlerinin bu kavram kanıtlarının bölümlerini kopyaladığından, bunları değiştirdiğinden ve kodu Go diline taşıdığından şüpheleniyoruz.”
Sophos, uç nokta güvenlik ürünlerinde sabotaj korumasının etkinleştirilmesini, saldırganların güvenlik açığı bulunan sürücüleri yüklemesini önlemek için kullanıcı ve yönetici ayrıcalıkları arasında ayrım yapılmasını ve Microsoft’un daha önceki saldırılarda kötüye kullanıldığı bilinen imzalı sürücülerin sertifikasını iptal etmeye devam ettiği göz önünde bulundurulduğunda sistemlerin güncel tutulmasını öneriyor.
Geçtiğimiz yıl Sophos, Medusa Locker ve LockBit fidye yazılımı saldırılarında savunmasız bir Process Explorer sürücüsünü kötüye kullanan AuKill adlı başka bir EDR öldürücü kötü amaçlı yazılım tespit etti. AuKill, savunmasız bir Process Explorer sürücüsünü de kullanan ve LockBit çetesi tarafından Sophos X-Ops tarafından gözlemlenen en az bir saldırıda kullanılan Backstab adlı açık kaynaklı bir araca benzer.