Atuantes em ameaças da Coreia do Norte, conhecidos como Grupo Lazarus, exploraram uma falha no driver AppLocker do Windows (appid.sys) como um zero-day para obter acesso em nível de kernel e desabilitar ferramentas de segurança, permitindo que eles contornassem técnicas barulhentas de BYOVD (Bring Your Own Vulnerable Driver).
Esta atividade foi detectada por analistas da Avast, que prontamente a reportaram para a Microsoft, resultando em uma correção para a falha, agora rastreada como
CVE-2024-21338
, como parte do Patch Tuesday de fevereiro de 2024.
No entanto, a Microsoft não marcou a falha como sendo explorada como um zero-day.
A Avast relata que o Lazarus explorou o
CVE-2024-21338
para criar um primitivo de kernel de leitura/gravação numa versão atualizada do seu rootkit FudModule, que foi primeiramente documentado pelo ESET em finais de 2022.
Anteriormente, o rootkit abusava de um driver Dell para ataques BYOVD.
A nova versão do FudModule apresenta melhorias significativas em stealth e funcionalidade, incluindo novas e atualizadas técnicas para evadir detecção e desligar proteções de segurança como Microsoft Defender e CrowdStrike Falcon.
Além disso, ao recuperar a maior parte da cadeia de ataque, a Avast descobriu um trojan de acesso remoto (RAT) anteriormente não documentado usado pelo Lazarus, sobre o qual a empresa de segurança prometeu compartilhar mais detalhes na BlackHat Asia em abril.
O malware explorou uma vulnerabilidade no driver "appid.sys" da Microsoft, um componente Windows AppLocker que fornece capacidades de lista branca de aplicações.
O Lazarus explora ao manipular o despachante de Controle de Entrada e Saída (IOCTL) no driver appid.sys para chamar um ponteiro arbitrário, enganando o kernel para executar um código inseguro, contornando assim as verificações de segurança.
O rootkit FudModule, construído dentro do mesmo módulo que o exploit, executa operações de manipulação direta de objeto do kernel (DKOM) para desligar produtos de segurança, esconder atividades maliciosas e manter a persistência no sistema violado.
Os produtos de segurança alvo são AhnLab V3 Endpoint Security, Windows Defender, CrowdStrike Falcon, e a solução anti-malware HitmanPro.
A Avast observou novas funcionalidades de stealth e capacidades ampliadas na nova versão do rootkit, como a capacidade de suspeitar de processos protegidos pelo Protected Process Light (PPL) manipulando entradas na tabela de manipulação, interrupção seletiva e direcionada via DKOM, melhorias em adulterar a aplicação de assinaturas em drivers e Secure Boot, e mais.
A Avast destaca que esta nova tática de exploit marca uma evolução significativa nas capacidades de acesso ao kernel do agente de ameaça, permitindo-lhes lançar ataques mais furtivos e persistir mais em sistemas comprometidos.
A única medida de segurança eficaz é aplicar as atualizações do Patch Tuesday de fevereiro de 2024 o mais rápido possível, já que a exploração por Lazarus de um driver integrado ao Windows torna o ataque particularmente desafiador de ser detectado e parado.
Regras YARA para ajudar os defensores a detectar atividades relacionadas à última versão do rootkit FudModule podem ser encontradas aqui.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...