Gangues de ransomware abusam do driver do Process Explorer para desativar o software de segurança
20 de Abril de 2023

Atores ameaçadores usam uma nova ferramenta de hacking chamada AuKill para desativar o software de detecção e resposta de endpoints (EDR) nos sistemas das vítimas antes de implantar backdoors e ransomware em ataques Bring Your Own Vulnerable Driver (BYOVD).

Nesses ataques, os atores maliciosos deixam drivers legítimos assinados com um certificado válido e capazes de rodar com privilégios de kernel nos dispositivos das vítimas para desabilitar as soluções de segurança e assumir o controle do sistema.

Essa técnica é popular entre vários atores ameaçadores, desde grupos de hackers apoiados pelo estado até gangues de ransomware motivadas financeiramente.

O malware AuKill, primeiro detectado pelos pesquisadores de segurança do Sophos X-Ops, deixa um driver vulnerável do Windows (procexp.sys) próximo ao usado pelo Process Explorer v16.32 da Microsoft.

Este é um utilitário muito popular e legítimo que ajuda a coletar informações sobre processos ativos do Windows.

Para escalar privilégios, ele primeiro verifica se já está rodando com privilégios do SYSTEM e, se não estiver, se faz passar pelo serviço TrustedInstaller Windows Modules Installer para escalar para o SYSTEM.

Para desativar o software de segurança, o AuKill inicia vários threads para sondar e desativar continuamente os processos e serviços de segurança (e garantir que permaneçam desativados, impedindo que reiniciem).

Até o momento, várias versões do AuKill foram observadas na natureza, algumas implantadas em pelo menos três incidentes separados que levaram a infecções de ransomware Medusa Locker e LockBit desde o início do ano.

"A ferramenta foi usada em pelo menos três incidentes de ransomware desde o início de 2023 para sabotar a proteção do alvo e implantar o ransomware", disse o Sophos X-Ops.

"Em janeiro e fevereiro, os atacantes implantaram o ransomware Medusa Locker depois de usar a ferramenta; em fevereiro, um atacante usou o AuKill pouco antes de implantar o ransomware Lockbit."
AuKill é semelhante a uma ferramenta de código aberto chamada Backstab, que também usa um driver do Process Explorer para desativar soluções de segurança em dispositivos comprometidos.

Backstab foi anteriormente implantado pela gangue LockBit em pelo menos um ataque observado pelo Sophos X-Ops ao analisar a versão mais recente do malware do grupo de crimes cibernéticos, LockBit 3.0 ou LockBit Black.

"Encontramos várias semelhanças entre a ferramenta de código aberto Backstab e o AuKill", disseram os pesquisadores.

"Algumas dessas semelhanças incluem sequências de depuração semelhantes e lógica de fluxo de código quase idêntica para interagir com o driver."

A amostra mais antiga do AuKill tem um carimbo de data/hora de compilação de novembro de 2022, enquanto a mais recente foi compilada em meados de fevereiro, quando também foi usada como parte de um ataque vinculado ao grupo de ransomware LockBit.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...