Sajber kriminalci su još jednom demonstrirali svoju rastuću sofisticiranost koristeći nepoznati drajver za Toshiba laptop kako bi zaobišli sisteme za detekciju i odgovor na krajnje tačke.
Operacija ransomwarea Qilin, aktivna od jula 2022. godine, uključila je prethodno nepoznati ranjivi drajver pod nazivom TPwSav.sys u svoj arsenal napada, omogućavajući im da prikriveno onemoguće EDR zaštitu putem tehnike poznate kao “donesi svoj ranjivi drajver” (BYOVD).
Ovaj razvoj događaja predstavlja značajno povećanje sposobnosti operatera ransomware-a da zaobiđu tradicionalne sigurnosne mjere na koje su se organizacije oslanjale.
Qilin ransomware grupa posluje po modelu ransomware-as-a-service, nudeći partnerima značajne profitne marže od 80% za otkupnine ispod 3 miliona dolara i 85% za veće uplate.
.webp)
Napisan u programskim jezicima Golang i Rust, Qilin cilja Windows i Linux sisteme metodologijom dvostruke iznude, krađom i prijetnjom curenjem podataka o žrtvama ako se zahtjevi za otkupninu ne ispune.
.webp)
Grupa održava strogu operativnu sigurnost zabranjujući napade na zemlje Zajednice nezavisnih država, što je uobičajena praksa među sajber kriminalnim organizacijama koje govore ruski.
Analitičari Blackpointa identifikovali su ovaj sofisticirani lanac napada tokom nedavne istrage incidenta, gdje su operateri ransomwarea demonstrirali napredne mogućnosti manipulacije na nivou jezgra.
Sekvenca napada počinje implementacijom legitimno potpisane izvršne datoteke pod nazivom upd.exe, koja je zapravo alat za ažuriranje Carbon Black Cloud Sensor AV-a.
Međutim, umjesto učitavanja legitimnog ekvivalenta, izvršna datoteka bočno učitava malicioznu dinamičku biblioteku linkova pod nazivom avupdate.dll, koja služi kao početni mehanizam za isporuku sadržaja.
Zlonamjerni DLL sadrži izvezenu funkciju pod nazivom avupdate_get_version koja izvršava više tehnika anti-analize , uključujući detekciju virtuelnih mašina i provjere otklanjanja grešaka, prije učitavanja i izvršavanja kodirane datoteke pod nazivom web.dat.
Ova datoteka predstavlja prenosivi izvršni fajl za Windows koji je XOR kodiran sa vrijednošću bajta 0x6a, što pokazuje posvećenost napadača obfuskaciji svojih alata kroz lanac infekcije.
Napredni mehanizam zaobilaženja EDR-a na nivou jezgra
Dekodirana datoteka web.dat otkriva se kao značajno prilagođena varijanta EDRSandblasta, alata otvorenog koda dizajniranog za onemogućavanje EDR proizvoda na nivou kernela.
.webp)
Umjesto korištenja često otkrivenih ranjivih drajvera koje je većina EDR dobavljača označila, hakeri su strateški odabrali TPwSav.sys, legitimni potpisani drajver Windows kernela prvobitno razvijen za funkcije uštede energije na Toshiba laptopima i kompajliran 2015. godine.
.webp)
Drajver TPwSav.sys sadrži dva kritična IO kontrolna koda koji omogućavaju proizvoljne operacije čitanja i pisanja u memoriju, bajt po bajt.
Ovi IOCTL rukovatelji mapiraju adrese fizičke memorije na virtualne adrese koristeći funkciju MmMapIoSpace, omogućavajući malicioznom softveru da čita ili modifikuje sadržaj memorije prije nego što odmapira adresu pomoću MmUnmapIoSpace.
Ova mogućnost omogućava napadačima da zaobiđu zaštitu memorije samo za čitanje (read-only memory) koristeći fizičke adrese za mapiranje i modifikaciju sadržaja virtuelnih adresa.
Napad koristi sofisticiranu tehniku gdje se funkcija BeepDeviceControl u izvornom Windows drajveru Beep.sys prepisuje prilagođenim shellcode-om.
Ovaj proces otimanja mrežnog resursa uključuje nabrajanje bitnih adresa, uključujući osnovnu adresu Beepa i pomak BeepDeviceControla, dok se istovremeno preuzimaju mapiranja virtualnih u fizičke adrese putem upita SystemSuperfetchInformation.
Nakon što shellcode zamijeni legitimni rukovatelj, implementira prilagođeni IOCTL procesor koji odgovara na naredbu 0x222000, pružajući neograničene mogućnosti pristupa memoriji kernela koje efikasno neutraliziraju većinu EDR rješenja uklanjanjem rutina povratnog poziva kernela i mehanizama za praćenje događaja.
Uspješna integracija TPwSav.sys u alate Qilin operacije pokazuje sve veću sofisticiranost partnera za ransomware i njihov pristup naprednim alatima putem tržišta dark weba, naglašavajući hitnu potrebu za poboljšanim mehanizmima detekcije koji prevazilaze tradicionalna EDR rješenja.
Izvor: CyberSecurityNews
