📰 Informação fresquinha chegando para você!
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Os hackers estão abusando de um driver de kernel EnCase legÃtimo, mas há muito revogado, em um assassino de EDR que pode detectar 59 ferramentas de segurança na tentativa de desativá-las.
Um assassino de EDR é uma ferramenta maliciosa criada especificamente para ignorar ou desabilitar ferramentas de detecção e resposta de endpoint (EDR), juntamente com outras soluções de segurança. Eles normalmente usam drivers vulneráveis para liberar as proteções do sistema.
Normalmente, os invasores contam com a técnica ‘Bring Your Own Vulnerable Driver’ (BYOVD), onde introduzem um driver legÃtimo, mas vulnerável, e o usam para obter acesso em nÃvel de kernel e encerrar processos de software de segurança.
A técnica é bem documentada e muito popular, mas apesar da Microsoft ter introduzido várias defesas ao longo dos anos, os sistemas Windows ainda são vulneráveis a desvios eficazes.
Encase é uma ferramenta de investigação digital usada em operações forenses de aplicação da lei que permite extrair e analisar dados de computadores, dispositivos móveis ou armazenamento em nuvem.
Os pesquisadores da Huntress que responderam a um incidente de segurança cibernética no inÃcio deste mês notaram a implantação de um assassino EDR personalizado que estava disfarçado como um utilitário legÃtimo de atualização de firmware e usava um driver de kernel antigo.
Os invasores violaram a rede usando credenciais VPN SSL da SonicWall comprometidas e explorando a falta de autenticação multifator (MFA) para a conta VPN.
Após o login, os invasores realizaram um reconhecimento interno agressivo, incluindo varreduras de ping ICMP, sondagens de nomes NetBIOS e atividades relacionadas a SMB, inundações de SYN superiores a 370 SYNs/s.
O EDR killer usado neste caso é um executável de 64 bits que abusa do ‘EnPortv.sys’, um antigo driver de kernel do EnCase, para desabilitar ferramentas de segurança em execução no sistema host.
O certificado de condução foi emitido em 2006, expirou em 2010 e foi posteriormente revogado; no entanto, como o sistema de aplicação de assinatura de driver no Windows funciona validando resultados de verificação criptográfica e carimbos de data/hora, em vez de verificar listas de revogação de certificados (CRLs), o sistema operacional ainda aceita o certificado antigo.
Embora a Microsoft tenha adicionado um requisito no Windows 10 versão 1607 de que os drivers do kernel devem ser assinados por meio do Centro de Desenvolvimento de Hardware, uma exceção foi feita para certificados emitidos antes de 29 de julho de 2015, o que se aplica neste caso.
O driver do kernel é instalado e registrado como um serviço de hardware OEM falso, estabelecendo persistência resistente à reinicialização.
Estabelecendo persistência no hostFonte: Huntress
O malware usa a interface IOCTL do modo kernel do driver para encerrar processos de serviço, ignorando as proteções existentes do Windows, como Protected Process Light (PPL).
Existem 59 processos direcionados relacionados a diversas ferramentas de EDR e antivÃrus. O kill loop é executado a cada segundo, encerrando imediatamente qualquer processo reiniciado.
Implementação KillProcFonte: Huntress
A Huntress acredita que a intrusão estava relacionada à atividade de ransomware, embora o ataque tenha sido interrompido antes que a carga final fosse implantada.
As principais recomendações de defesa incluem habilitar MFA em todos os serviços de acesso remoto, monitorar logs de VPN em busca de atividades suspeitas e habilitar HVCI/Memory Integrity para impor a lista de bloqueio de drivers vulneráveis da Microsoft.
Além disso, a Huntress recomenda monitorar serviços de kernel disfarçados de OEM ou componentes de hardware e implantar regras WDAC e ASR para bloquear drivers assinados vulneráveis.
O futuro da infraestrutura de TI está aqui
A infraestrutura de TI moderna se move mais rápido do que os fluxos de trabalho manuais podem suportar. Neste novo guia do Tines, saiba como sua equipe pode reduzir atrasos manuais ocultos, melhorar a confiabilidade por meio de respostas automatizadas e criar e dimensionar fluxos de trabalho inteligentes com base nas ferramentas que você já usa.
Obtenha o guia
Um assassino de EDR é uma ferramenta maliciosa criada especificamente para ignorar ou desabilitar ferramentas de detecção e resposta de endpoint (EDR), juntamente com outras soluções de segurança. Eles normalmente usam drivers vulneráveis para liberar as proteções do sistema.
Normalmente, os invasores contam com a técnica ‘Bring Your Own Vulnerable Driver’ (BYOVD), onde introduzem um driver legÃtimo, mas vulnerável, e o usam para obter acesso em nÃvel de kernel e encerrar processos de software de segurança.
A técnica é bem documentada e muito popular, mas apesar da Microsoft ter introduzido várias defesas ao longo dos anos, os sistemas Windows ainda são vulneráveis a desvios eficazes.
Encase é uma ferramenta de investigação digital usada em operações forenses de aplicação da lei que permite extrair e analisar dados de computadores, dispositivos móveis ou armazenamento em nuvem.
Os pesquisadores da Huntress que responderam a um incidente de segurança cibernética no inÃcio deste mês notaram a implantação de um assassino EDR personalizado que estava disfarçado como um utilitário legÃtimo de atualização de firmware e usava um driver de kernel antigo.
Os invasores violaram a rede usando credenciais VPN SSL da SonicWall comprometidas e explorando a falta de autenticação multifator (MFA) para a conta VPN.
Após o login, os invasores realizaram um reconhecimento interno agressivo, incluindo varreduras de ping ICMP, sondagens de nomes NetBIOS e atividades relacionadas a SMB, inundações de SYN superiores a 370 SYNs/s.
O EDR killer usado neste caso é um executável de 64 bits que abusa do ‘EnPortv.sys’, um antigo driver de kernel do EnCase, para desabilitar ferramentas de segurança em execução no sistema host.
O certificado de condução foi emitido em 2006, expirou em 2010 e foi posteriormente revogado; no entanto, como o sistema de aplicação de assinatura de driver no Windows funciona validando resultados de verificação criptográfica e carimbos de data/hora, em vez de verificar listas de revogação de certificados (CRLs), o sistema operacional ainda aceita o certificado antigo.
Embora a Microsoft tenha adicionado um requisito no Windows 10 versão 1607 de que os drivers do kernel devem ser assinados por meio do Centro de Desenvolvimento de Hardware, uma exceção foi feita para certificados emitidos antes de 29 de julho de 2015, o que se aplica neste caso.
O driver do kernel é instalado e registrado como um serviço de hardware OEM falso, estabelecendo persistência resistente à reinicialização.
Estabelecendo persistência no hostFonte: Huntress
O malware usa a interface IOCTL do modo kernel do driver para encerrar processos de serviço, ignorando as proteções existentes do Windows, como Protected Process Light (PPL).
Existem 59 processos direcionados relacionados a diversas ferramentas de EDR e antivÃrus. O kill loop é executado a cada segundo, encerrando imediatamente qualquer processo reiniciado.
Implementação KillProcFonte: Huntress
A Huntress acredita que a intrusão estava relacionada à atividade de ransomware, embora o ataque tenha sido interrompido antes que a carga final fosse implantada.
As principais recomendações de defesa incluem habilitar MFA em todos os serviços de acesso remoto, monitorar logs de VPN em busca de atividades suspeitas e habilitar HVCI/Memory Integrity para impor a lista de bloqueio de drivers vulneráveis da Microsoft.
Além disso, a Huntress recomenda monitorar serviços de kernel disfarçados de OEM ou componentes de hardware e implantar regras WDAC e ASR para bloquear drivers assinados vulneráveis.
O futuro da infraestrutura de TI está aqui
A infraestrutura de TI moderna se move mais rápido do que os fluxos de trabalho manuais podem suportar. Neste novo guia do Tines, saiba como sua equipe pode reduzir atrasos manuais ocultos, melhorar a confiabilidade por meio de respostas automatizadas e criar e dimensionar fluxos de trabalho inteligentes com base nas ferramentas que você já usa.
Obtenha o guia
#samirnews #samir #news #boletimtec #a #ferramenta #edr #killer #usa #driver #de #kernel #assinado #de #software #forense
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário