🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma nova análise de assassinos de detecção e resposta de endpoint (EDR) revelou que 54 deles aproveitam uma técnica conhecida como traga seu próprio driver vulnerável (BYOVD), abusando de um total de 34 drivers vulneráveis.
Os programas EDR killer têm sido uma presença comum em invasões de ransomware, pois oferecem uma maneira para os afiliados neutralizarem o software de segurança antes de implantarem malware com criptografia de arquivos. Isso é feito na tentativa de evitar a detecção.
“Gangues de ransomware, especialmente aquelas com programas de ransomware como serviço (RaaS), frequentemente produzem novas versões de seus criptografadores, e garantir que cada nova versão não seja detectada de forma confiável pode ser demorado”, disse o pesquisador da ESET Jakub Souček em um relatório compartilhado com The Hacker News.
"Mais importante ainda, os criptografadores são inerentemente muito barulhentos (pois precisam modificar um grande número de arquivos em um curto período); fazer com que esse malware não seja detectado é bastante desafiador."
Os assassinos de EDR atuam como um componente externo especializado que é executado para desabilitar os controles de segurança antes de executar os próprios armários, mantendo assim estes últimos simples, estáveis e fáceis de reconstruir. Isso não quer dizer que não houve casos em que a terminação de EDR e os módulos de ransomware foram fundidos em um único binário. O ransomware Reynolds é um exemplo disso.
A maioria dos assassinos de EDR depende de condutores legítimos, mas vulneráveis, para obter privilégios elevados e atingir os seus objetivos. Entre as quase 90 ferramentas assassinas de EDR detectadas pela empresa eslovaca de segurança cibernética, mais da metade delas utiliza a conhecida tática BYOVD simplesmente porque é confiável.
“O objetivo de um ataque BYOVD é obter privilégios de modo kernel, geralmente chamados de Ring 0”, explica Bitdefender. "Nesse nível, o código tem acesso irrestrito à memória e ao hardware do sistema. Como um invasor não pode carregar um driver malicioso não assinado, ele 'traz' um driver assinado por um fornecedor respeitável (como um fabricante de hardware ou uma versão antiga de antivírus) que possui uma vulnerabilidade conhecida."
Armados com o acesso ao kernel, os agentes de ameaças podem encerrar processos de EDR, desabilitar ferramentas de segurança, adulterar retornos de chamada do kernel e minar as proteções de endpoint. O resultado é um abuso do modelo de confiança de driver da Microsoft para escapar das defesas, aproveitando o fato de que o driver vulnerável é legítimo e assinado.
Os assassinos EDR baseados em BYOVD são desenvolvidos principalmente por três tipos de atores de ameaças -
Grupos fechados de ransomware como DeadLock e Warlock que não dependem de afiliados
Os invasores bifurcam e ajustam o código de prova de conceito existente (por exemplo, SmilingKiller e TfSysMon-Killer)
Os cibercriminosos comercializam essas ferramentas em mercados clandestinos como um serviço (por exemplo, DemoKiller, também conhecido como Бафомет, ABYSSWORKER e CardSpaceKiller)
A ESET disse que também identificou ferramentas baseadas em scripts que fazem uso de comandos administrativos integrados, como taskkill, net stop ou sc delete, para interferir no funcionamento regular dos processos e serviços de produtos de segurança. Também foram encontradas variantes selecionadas para combinar scripts com o Modo de segurança do Windows.
“Como o Modo de Segurança carrega apenas um subconjunto mínimo do sistema operacional e as soluções de segurança normalmente não estão incluídas, o malware tem uma chance maior de desabilitar a proteção”, observou a empresa. "Ao mesmo tempo, tal atividade é muito barulhenta, pois requer uma reinicialização, o que é arriscado e não confiável em ambientes desconhecidos. Portanto, raramente é visto na natureza."
A terceira categoria de assassinos de EDR são os anti-rootkits, que incluem utilitários legítimos como GMER, HRSword e PC Hunter, que oferecem uma interface de usuário intuitiva para encerrar processos ou serviços protegidos. Uma quarta classe emergente é um conjunto de assassinos de EDR sem driver, como EDRSilencer e EDR-Freeze, que bloqueiam o tráfego de saída de soluções de EDR e fazem com que os programas entrem em estado de “coma”.
“Os invasores não estão se esforçando muito para fazer com que seus criptografadores não sejam detectados”, disse a ESET. "Em vez disso, todas as técnicas sofisticadas de evasão de defesa mudaram para os componentes de modo de usuário dos assassinos EDR. Essa tendência é mais visível nos assassinos EDR comerciais, que muitas vezes incorporam capacidades maduras de anti-análise e antidetecção."
Para combater ransomware e assassinos de EDR, bloquear o carregamento de drivers comumente usados indevidamente é um mecanismo de defesa necessário. No entanto, dado que os EDR killers são executados apenas no último estágio e pouco antes de iniciar o criptografador, uma falha neste estágio significa que o autor da ameaça pode facilmente mudar para outra ferramenta para realizar a mesma tarefa.
A implicação é que as organizações precisam de defesas em camadas e estratégias de detecção para monitorar, sinalizar, conter e remediar proativamente a ameaça em cada estágio do ciclo de vida do ataque.
"Os assassinos de EDR resistem porque são baratos, consistentes e desacoplados do criptografador – uma combinação perfeita para ambos os criptografadores
Os programas EDR killer têm sido uma presença comum em invasões de ransomware, pois oferecem uma maneira para os afiliados neutralizarem o software de segurança antes de implantarem malware com criptografia de arquivos. Isso é feito na tentativa de evitar a detecção.
“Gangues de ransomware, especialmente aquelas com programas de ransomware como serviço (RaaS), frequentemente produzem novas versões de seus criptografadores, e garantir que cada nova versão não seja detectada de forma confiável pode ser demorado”, disse o pesquisador da ESET Jakub Souček em um relatório compartilhado com The Hacker News.
"Mais importante ainda, os criptografadores são inerentemente muito barulhentos (pois precisam modificar um grande número de arquivos em um curto período); fazer com que esse malware não seja detectado é bastante desafiador."
Os assassinos de EDR atuam como um componente externo especializado que é executado para desabilitar os controles de segurança antes de executar os próprios armários, mantendo assim estes últimos simples, estáveis e fáceis de reconstruir. Isso não quer dizer que não houve casos em que a terminação de EDR e os módulos de ransomware foram fundidos em um único binário. O ransomware Reynolds é um exemplo disso.
A maioria dos assassinos de EDR depende de condutores legítimos, mas vulneráveis, para obter privilégios elevados e atingir os seus objetivos. Entre as quase 90 ferramentas assassinas de EDR detectadas pela empresa eslovaca de segurança cibernética, mais da metade delas utiliza a conhecida tática BYOVD simplesmente porque é confiável.
“O objetivo de um ataque BYOVD é obter privilégios de modo kernel, geralmente chamados de Ring 0”, explica Bitdefender. "Nesse nível, o código tem acesso irrestrito à memória e ao hardware do sistema. Como um invasor não pode carregar um driver malicioso não assinado, ele 'traz' um driver assinado por um fornecedor respeitável (como um fabricante de hardware ou uma versão antiga de antivírus) que possui uma vulnerabilidade conhecida."
Armados com o acesso ao kernel, os agentes de ameaças podem encerrar processos de EDR, desabilitar ferramentas de segurança, adulterar retornos de chamada do kernel e minar as proteções de endpoint. O resultado é um abuso do modelo de confiança de driver da Microsoft para escapar das defesas, aproveitando o fato de que o driver vulnerável é legítimo e assinado.
Os assassinos EDR baseados em BYOVD são desenvolvidos principalmente por três tipos de atores de ameaças -
Grupos fechados de ransomware como DeadLock e Warlock que não dependem de afiliados
Os invasores bifurcam e ajustam o código de prova de conceito existente (por exemplo, SmilingKiller e TfSysMon-Killer)
Os cibercriminosos comercializam essas ferramentas em mercados clandestinos como um serviço (por exemplo, DemoKiller, também conhecido como Бафомет, ABYSSWORKER e CardSpaceKiller)
A ESET disse que também identificou ferramentas baseadas em scripts que fazem uso de comandos administrativos integrados, como taskkill, net stop ou sc delete, para interferir no funcionamento regular dos processos e serviços de produtos de segurança. Também foram encontradas variantes selecionadas para combinar scripts com o Modo de segurança do Windows.
“Como o Modo de Segurança carrega apenas um subconjunto mínimo do sistema operacional e as soluções de segurança normalmente não estão incluídas, o malware tem uma chance maior de desabilitar a proteção”, observou a empresa. "Ao mesmo tempo, tal atividade é muito barulhenta, pois requer uma reinicialização, o que é arriscado e não confiável em ambientes desconhecidos. Portanto, raramente é visto na natureza."
A terceira categoria de assassinos de EDR são os anti-rootkits, que incluem utilitários legítimos como GMER, HRSword e PC Hunter, que oferecem uma interface de usuário intuitiva para encerrar processos ou serviços protegidos. Uma quarta classe emergente é um conjunto de assassinos de EDR sem driver, como EDRSilencer e EDR-Freeze, que bloqueiam o tráfego de saída de soluções de EDR e fazem com que os programas entrem em estado de “coma”.
“Os invasores não estão se esforçando muito para fazer com que seus criptografadores não sejam detectados”, disse a ESET. "Em vez disso, todas as técnicas sofisticadas de evasão de defesa mudaram para os componentes de modo de usuário dos assassinos EDR. Essa tendência é mais visível nos assassinos EDR comerciais, que muitas vezes incorporam capacidades maduras de anti-análise e antidetecção."
Para combater ransomware e assassinos de EDR, bloquear o carregamento de drivers comumente usados indevidamente é um mecanismo de defesa necessário. No entanto, dado que os EDR killers são executados apenas no último estágio e pouco antes de iniciar o criptografador, uma falha neste estágio significa que o autor da ameaça pode facilmente mudar para outra ferramenta para realizar a mesma tarefa.
A implicação é que as organizações precisam de defesas em camadas e estratégias de detecção para monitorar, sinalizar, conter e remediar proativamente a ameaça em cada estágio do ciclo de vida do ataque.
"Os assassinos de EDR resistem porque são baratos, consistentes e desacoplados do criptografador – uma combinação perfeita para ambos os criptografadores
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #54 #assassinos #de #edr #usam #byovd #para #explorar #34 #drivers #vulneráveis #assinados #e #desativar #a #segurança
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário