Atores de ameaças estão empregando uma ferramenta de evasão de defesa anteriormente não documentada, chamada de AuKill, projetada para desabilitar software de detecção e resposta de endpoint (EDR) por meio de um ataque Bring Your Own Vulnerable Driver (BYOVD).
"A ferramenta AuKill abusa de uma versão desatualizada do driver usado pela versão 16,32 da utilidade da Microsoft, Process Explorer, para desabilitar os processos EDR antes de implantar um backdoor ou ransomware no sistema alvo", disse o pesquisador da Sophos, Andreas Klopsch, em um relatório publicado na semana passada.
Os incidentes analisados pela empresa de segurança cibernética mostram o uso do AuKill desde o início de 2023 para implantar vários tipos de ransomware, como Medusa Locker e LockBit.
Até o momento, foram identificadas seis versões diferentes do malware.
A amostra mais antiga do AuKill apresenta um carimbo de data/hora de compilação de novembro de 2022.
A técnica BYOVD baseia-se no uso indevido de um driver legítimo, mas desatualizado e explorável, assinado pela Microsoft (ou usando um certificado roubado ou vazado) para obter privilégios elevados e desativar mecanismos de segurança.
Ao usar drivers válidos e suscetíveis, a ideia é contornar uma salvaguarda do Windows conhecida como Driver Signature Enforcement, que garante que os drivers de modo kernel tenham sido assinados por uma autoridade de assinatura de código válida antes de serem permitidos para executar.
"A ferramenta AuKill requer privilégios administrativos para funcionar, mas não pode dar ao atacante esses privilégios", observou Klopsch.
"Os atores de ameaças que usam o AuKill aproveitaram os privilégios existentes durante os ataques, quando os obtiveram por outros meios".
Esta não é a primeira vez que o driver Process Explorer assinado pela Microsoft foi usado como arma em ataques.
Em novembro de 2022, a Sophos também detalhou o uso pelos afiliados do LockBit de uma ferramenta de código aberto chamada Backstab, que abusava de versões desatualizadas do driver para encerrar processos de antivírus protegidos.
Em seguida, no início deste ano, uma campanha de malvertising foi detectada utilizando o mesmo driver como parte de uma cadeia de infecção distribuindo um carregador .NET chamado MalVirt para implantar o malware de roubo de informações FormBook.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...