O grupo de ransomware ALPHV (também conhecido como BlackCat) foi observado utilizando drivers de kernel maliciosos assinados para evitar a detecção por softwares de segurança durante ataques.
O driver visto pela Trend Micro é uma versão melhorada do malware conhecido como 'POORTRY', que Microsoft, Mandiant, Sophos e SentinelOne identificaram em ataques de ransomware no final do ano passado.
O malware POORTRY é um driver de kernel do Windows assinado usando chaves roubadas pertencentes a contas legítimas no Programa de Desenvolvedor de Hardware do Windows da Microsoft.
Este driver malicioso foi usado pelo grupo de hackers UNC3944, também conhecido como 0ktapus e Scattered Spider, para encerrar softwares de segurança em execução em um dispositivo Windows para evitar detecção.
Embora softwares de segurança sejam geralmente protegidos contra encerramento ou adulteração, os drivers de kernel do Windows são executados com as mais altas permissões no sistema operacional e podem ser usados para encerrar quase qualquer processo.
A Trend Micro afirma que os atores de ransomware tentaram usar o driver POORTRY assinado pela Microsoft, mas suas taxas de detecção foram altas após a publicidade que recebeu e após as chaves de assinatura de código serem revogadas.
Portanto, os hackers implantaram uma versão atualizada do driver de kernel POORTRY assinado usando um certificado de assinatura cruzada roubado ou vazado.
O novo driver usado pela operação de ransomware BlackCat ajuda a elevar seus privilégios em máquinas comprometidas e depois interrompe processos relacionados a agentes de segurança.
Além disso, pode fornecer uma conexão fraca entre a gangue de ransomware e os grupos de hackers UNC3944/Scattered Spider.
O driver assinado visto pela Trend Micro em ataques BlackCat de fevereiro de 2023 é 'ktgn.sys', deixado no sistema de arquivos da vítima na pasta %Temp% e depois carregado por um programa de modo de usuário chamado 'tjr.exe'.
Os analistas dizem que a assinatura digital de ktgn.sys foi revogada; no entanto, o driver ainda será carregado sem problemas em sistemas Windows de 64 bits com políticas de assinatura aplicadas.
O driver de kernel malicioso expõe uma interface IOCTL que permite ao cliente de modo de usuário, tjr.exe, emitir comandos que o driver executará com privilégios de kernel do Windows.
"A partir de nossa análise do que ocorre quando um usuário interage com esse driver, observamos que ele usa apenas um dos códigos IOCTL expostos de Entrada e Saída de Dispositivo - Kill Process, que é usado para encerrar processos de agentes de segurança instalados no sistema", explica o relatório da Trend Micro.
Os analistas da Trend Micro observaram os seguintes comandos expostos que podem ser emitidos para o driver: A Trend Micro comenta que os dois comandos usados para callbacks de Notificação de Processo/Thread não estão funcionando, indicando que o driver está atualmente em desenvolvimento ou ainda em fase de teste.
Os administradores do sistema são recomendados a usar os indicadores de comprometimento compartilhados pela Trend Micro e adicionar os drivers maliciosos usados pelos atores de ransomware à lista de bloqueio de drivers do Windows.
Os administradores do Windows também devem garantir que a "Execução de Assinatura de Driver" esteja habilitada, o que bloqueia a instalação de drivers que não possuem uma assinatura digital válida.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...