Ransomware ukrywa się w sterownikach z ważnymi certyfikatami
Sophos X-Ops znalazł złośliwy kod w kilku sterownikach podpisanych legalnymi certyfikatami cyfrowymi. Nowy raport Signed driver malware moves up the software trust chain opisuje śledztwo, które rozpoczęło się od próby ataku ransomware. Atakujący użyli złośliwego sterownika podpisanego legalnym certyfikatem cyfrowym Windows Hardware Compatibility Publisher od Microsoft. Złośliwy sterownik w szczególności celuje w procesy wykorzystywane przez kluczowe pakiety oprogramowania do wykrywania i reagowania na punkty końcowe (EDR). Został on zainstalowany przez złośliwe oprogramowanie związane z aktorami zagrożeń otaczających Cuba Ransomware Goup - wysoce płodną grupę, która w zeszłym roku skutecznie zaatakowała ponad 100 firm na całym świecie. Sophos Rapid Response był w stanie skutecznie udaremnić atak. To śledztwo zapoczątkowało szeroką współpracę między Sophos i Microsoft, aby podjąć działania i wyeliminować zagrożenie.
Złośliwe sterowniki podpisane skradzionymi certyfikatamiSterowniki mogą wykonywać wysoce uprzywilejowane operacje na systemach. Na przykład, sterowniki w trybie jądra mogą zakończyć wiele rodzajów oprogramowania, w tym między innymi oprogramowanie zabezpieczające. Kontrola tego, jakie sterowniki mogą być ładowane, jest jednym ze sposobów ochrony komputerów przed tego typu atakami. System Windows wymaga, aby przed załadowaniem sterownika znajdował się w nim podpis kryptograficzny - "znaczek zatwierdzenia". Jednak nie wszystkie certyfikaty cyfrowe używane do podpisywania sterowników są równie godne zaufania. Niektóre certyfikaty podpisu cyfrowego, które zostały skradzione i wyciekły do Internetu, zostały później niewłaściwie wykorzystane do podpisania złośliwego oprogramowania; inne certyfikaty zostały kupione i wykorzystane przez pozbawionych skrupułów sprzedawców oprogramowania PUA. Śledztwo Sophos w sprawie złośliwego sterownika używanego do sabotowania narzędzi bezpieczeństwa punktów końcowych podczas ataku ransomware wykazało, że napastnicy działali w sposób skoordynowany, aby przejść od mniej zaufanych do coraz bardziej zaufanych certyfikatów cyfrowych.
Kuba najprawdopodobniej zaangażowana"Ci napastnicy, najprawdopodobniej członkowie grupy ransomware Cuba, wiedzą co robią - i są wytrwali" - powiedział Christopher Budd, starszy menedżer, badania zagrożeń w Sophos. "Znaleźliśmy w sumie dziesięć złośliwych sterowników, z których wszystkie są wariantami oryginalnego odkrycia. Te sterowniki pokazują uzgodniony wysiłek, aby przesunąć się w górę w wiarygodności, z najstarszym sterownikiem pochodzącym z co najmniej lipca. Najstarsze sterowniki, jakie do tej pory znaleźliśmy, były podpisane certyfikatami nieznanych chińskich firm. Następnie udało im się podpisać sterownik za pomocą ważnego, wyciekłego i odwołanego certyfikatu NVIDIA. Teraz używają legalnego certyfikatu Windows Hardware Compatibility Publisher Digital od Microsoftu, jednego z najbardziej zaufanych podmiotów w ekosystemie Windows. Jeśli spojrzeć na to z perspektywy bezpieczeństwa korporacyjnego, napastnicy otrzymali ważne poświadczenia korporacyjne, dzięki którym mogą wejść do budynku bez pytania i zrobić co chcą" - kontynuował Christopher Budd. Dokładniejsze badanie plików wykonywalnych użytych w próbie ataku ransomware ujawniło, że złośliwy podpisany sterownik został pobrany do systemu docelowego przy użyciu wariantu loadera BURNTCIGAR, znanego złośliwego oprogramowania należącego do grupy ransomware Cuba. Po pobraniu sterownika do systemu, loader czeka na uruchomienie jednego ze 186 różnych nazw plików programów powszechnie używanych przez kluczowe pakiety oprogramowania zabezpieczającego punkty końcowe i EDR, a następnie próbuje zakończyć te procesy. Jeśli się to uda, napastnicy mogą wdrożyć oprogramowanie ransomware.
Obecny trend: próba obejścia wszystkich obecnych produktów EDR"W 2022 roku zaobserwowaliśmy, że osoby atakujące ransomware coraz częściej próbują obejść produkty EDR od wielu, jeśli nie większości, głównych dostawców" - kontynuował Christopher Budd. "Najpopularniejsza technika znana jest jako 'bring your own driver', którą ostatnio wykorzystał BlackByte. Polega ona na tym, że napastnicy wykorzystują istniejącą lukę w legalnym sterowniku. O wiele trudniej jest stworzyć złośliwy sterownik od podstaw i podpisać go przez uprawniony organ. Jednak jeśli się to uda, jest to niezwykle skuteczne, ponieważ sterownik może uruchamiać dowolne procesy bez poddawania ich pod wątpliwość." W przypadku tego konkretnego sterownika, praktycznie całe oprogramowanie EDR jest podatne na atak. Na szczęście dodatkowe środki ochrony przed manipulacją firmy Sophos były w stanie zatrzymać atak ransomware. Społeczność bezpieczeństwa musi być świadoma tego zagrożenia, aby mogła wdrożyć dodatkowe środki bezpieczeństwa. Jest prawdopodobne, że więcej atakujących będzie naśladować ten model." Sophos natychmiast współpracował z Microsoftem, aby naprawić problem po odkryciu sterownika. Microsoft udostępnił dalsze informacje w swoim doradztwie dotyczącym bezpieczeństwa i wydał je w ramach Patch Tuesday.