Un nuevo análisis de los asesinos de detección y respuesta de endpoints (EDR) revela que 54 de ellos aprovechan una técnica conocida como «traiga su propio controlador vulnerable» (BYOVD), para un total de 34 controladores vulnerables.
Los programas asesinos de EDR son comunes en las intrusiones de ransomware porque brindan a los afiliados una forma de neutralizar el software de seguridad antes de implementar malware de cifrado de archivos. Esto se hace para evitar la detección.
«Las bandas de ransomware, especialmente aquellas que utilizan programas de ransomware como servicio (RaaS), crean con frecuencia nuevas compilaciones de sus programas de cifrado, y garantizar que las nuevas compilaciones no sean detectadas puede llevar mucho tiempo», dijo el investigador de ESET, Jakub Souček, en un informe compartido con The Hacker News.
«Más importante aún, los programas de cifrado son inherentemente muy ruidosos (porque inherentemente tienen que modificar una gran cantidad de archivos en un corto período de tiempo), lo que hace que sea bastante difícil que dicho malware pase desapercibido».
El asesino EDR actúa como un componente externo especializado que se ejecuta para desactivar los controles de seguridad antes de ejecutar el casillero. Esto hace que el casillero sea simple, estable y fácil de reconstruir. Ha habido casos en los que los módulos de terminación EDR y los módulos de ransomware se han fusionado en un único binario. El ransomware Reynolds es un gran ejemplo.
La mayoría de los asesinos de EDR dependen de conductores legítimos pero vulnerables para obtener privilegios elevados y lograr sus objetivos. De las casi 90 herramientas asesinas de EDR detectadas por las empresas de ciberseguridad eslovacas, más de la mitad utilizan la conocida táctica BYOVD simplemente porque es confiable.
«El objetivo de un ataque BYOVD es obtener privilegios en modo kernel, a menudo denominado anillo 0», explica Bitdefender. «En este nivel, el código tiene acceso ilimitado a la memoria y al hardware del sistema. Los atacantes no pueden cargar controladores maliciosos no firmados, por lo que pueden ‘traer’ controladores firmados por proveedores confiables (como fabricantes de hardware o versiones de antivirus obsoletas) con vulnerabilidades conocidas.
Armados con acceso al kernel, los actores de amenazas pueden finalizar procesos EDR, deshabilitar herramientas de seguridad, alterar las devoluciones de llamadas del kernel y debilitar la protección de los endpoints. Como resultado, el modelo de confianza de los conductores de Microsoft puede aprovecharse para eludir las defensas aprovechando el hecho de que los conductores vulnerables son legítimos y están firmados.
Los asesinos de EDR basados en BYOVD son desarrollados principalmente por tres tipos de actores de amenazas:
Grupos cerrados de ransomware, como DeadLock y Warlock, que no dependen de afiliados. Atacantes que bifurcan y modifican el código de prueba de concepto existente (como SmilingKiller y TfSysMon-Killer). Ciberdelincuentes que venden dichas herramientas como un servicio en mercados clandestinos (como DemoKiller, también conocido como Бафомет, ABYSSWORKER, CardSpaceKiller).
ESET dijo que también ha identificado herramientas basadas en scripts que utilizan comandos administrativos integrados como taskkill, net stop y sc delete para interrumpir el funcionamiento normal de los procesos y servicios de los productos de seguridad. También se ha descubierto que algunas variantes combinan secuencias de comandos con el modo seguro de Windows.
«El modo seguro carga sólo un subconjunto mínimo del sistema operativo y normalmente no incluye soluciones de seguridad, lo que aumenta la probabilidad de que el malware desactive la protección», dijo la compañía. «Al mismo tiempo, esta actividad es muy ruidosa debido a la necesidad de reiniciar, y es peligrosa y poco confiable en un entorno desconocido. Por lo tanto, esta actividad rara vez se ve en la práctica».
La tercera categoría de asesinos de EDR son los anti-rootkits. Esto incluye utilidades legítimas como GMER, HRSword y PC Hunter que proporcionan una interfaz de usuario intuitiva para finalizar procesos y servicios protegidos. La cuarta clase emergente es un conjunto de asesinos de EDR sin conductor, como EDRSilencer y EDR-Freeze, que bloquean el tráfico saliente de una solución EDR y ponen el programa en un estado similar a un «coma».
«Los atacantes no están poniendo mucho esfuerzo en hacer que sus dispositivos de cifrado sean indetectables», dijo ESET. «Más bien, todas las técnicas sofisticadas de evasión defensiva han migrado a los componentes de modo de usuario de los asesinos EDR. Esta tendencia es más evidente en los asesinos EDR comerciales, que a menudo incorporan capacidades maduras de antianálisis y antidetección».
Bloquear la carga de controladores explotables es un mecanismo de defensa necesario para combatir el ransomware y los asesinos de EDR. Sin embargo, dado que el asesino de EDR solo se ejecuta durante la etapa final y justo antes de iniciar el programa de cifrado, si falla en esta etapa, el actor de la amenaza puede cambiar fácilmente a otra herramienta para realizar la misma tarea.
Esto significa que las organizaciones deben implementar estrategias de detección y defensa en capas para monitorear, marcar, contener y remediar amenazas de manera proactiva en cada etapa del ciclo de vida del ataque.
«EDR Killer persiste porque es barato, consistente y está desacoplado del equipo criptográfico. Es ideal tanto para los desarrolladores de equipos criptográficos que no necesitan concentrarse en hacer que sus equipos criptográficos sean indetectables, como para los afiliados que tienen una utilidad poderosa y fácil de usar que destruye las defensas antes del cifrado», dijo ESET.
Source link
