In un post sul blog della scorsa settimana, il ricercatore di minacce di Sophos Andreas Klopsch ha descritto in dettaglio la nuova tattica di evasione che disabilita gli strumenti di rilevamento e risposta degli endpoint (EDR) sfruttando una vulnerabilità nota di escalation dei privilegi e di esecuzione di codice in un driver chiamato RTCore64.sys. Il driver video è utilizzato da MSI AfterBurner 4.6.2.15658 di Micro-Star, uno strumento di overclocking che offre agli utenti un controllo esteso sulle schede grafiche. Gli operatori del ransomware BlackByte, attivo dal 2021, sfruttano la vulnerabilità RTCore64.sys, rintracciata come CVE-2019-16098, per colpire una parte del sistema operativo Windows che protegge i prodotti di sicurezza EDR. Sophos ha osservato che non è necessario alcuno shellcode o exploit per abusare della vulnerabilità. Inoltre, abbiamo anche identificato delle routine per disattivare il provider ETW (Event Tracing for Windows) Microsoft-Windows-Threat-Intelligence, una funzione che fornisce registri sull’uso di chiamate API comunemente abusate, come NtReadVirtualMemory, per iniettare nella memoria di un altro processo”. La tecnica di attacco, che Sophos ha ribattezzato “Bring Your Own Driver” (BYOD), può essere utilizzata contro un elenco di 1.000 driver e sfrutta vulnerabilità note per aggirare i prodotti di rilevamento delle minacce. Sophos ha notato altri esempi recenti di questa tecnica, tra cui un attacco AvosLocker che ha utilizzato un driver anti-rootkit di Avast. Durante l’analisi del team che si occupa delle minacce, i ricercatori di Sophos hanno riscontrato molteplici analogie tra lo strumento open-source “EDRSandblast” e il metodo di bypass dell’EDR di BlackByte. Klopsch ha descritto EDRSandblast come “uno strumento scritto in C per armare i driver firmati vulnerabili e bypassare i rilevamenti EDR con vari metodi”. Sulla base di questi risultati, Sophos ha concluso che gli attori delle minacce di BlackByte “hanno copiato frammenti di codice dallo strumento open-source e li hanno reimplementati nel ransomware”.
Tra i punti in comune vi sono funzioni quasi identiche e un elenco di driver noti relativi al software di sicurezza. “Se decifriamo l’elenco degli offset del kernel da BlackByte, è quasi, se non del tutto, identico all’elenco presente nel repository di GitHub, tranne per il fatto che manca l’intestazione del file CSV”, ha scritto Klopsch. Christopher Budd, senior manager della ricerca sulle minacce di Sophos, ha dichiarato all’editoriale di TechTarget che il settore dell’infosecurity dovrebbe essere consapevole del vettore di attacco perché gli operatori di BlackByte non stanno prendendo di mira uno specifico fornitore di sicurezza. Ha invece descritto una situazione in cui il loro approccio è di livello sufficientemente alto, dal punto di vista architettonico, da poter essere applicato contro qualsiasi prodotto di sicurezza. Inoltre, ottenere i driver non è difficile. Budd ha detto che gli attori delle minacce possono semplicemente scaricarli dal sito web di un produttore. “I driver sono onnipresenti”, ha detto Budd. “Una volta che i driver vulnerabili sono noti e vengono patchati, la maggior parte dei fornitori li rimuove e questo chiude la strada. Ma queste cose circolano”. Sebbene Sophos abbia osservato lo sfruttamento di questa tattica in natura, Budd ha dichiarato che non è molto diffusa. Tuttavia, la sua preoccupazione principale riguarda la sua ampia applicabilità. Un’altra preoccupazione, ha detto Budd, è il livello di sofisticazione dimostrato, poiché la tecnica rappresenta qualcuno che comprende il funzionamento dei kernel dei sistemi operativi. “E, cosa ancora più importante, [comprende] come il software di sicurezza e l’EDR si affidino collettivamente alla stessa singola capacità API critica all’interno del sistema operativo”, ha detto Budd.
Il ransomware BlackByte in aumento
Recentemente, Sophos ha osservato un aumento dei livelli di attività di BlackByte. Budd ha detto che l’entità ransomware-as-a-service, che ha provocato un allarme governativo per le infrastrutture critiche a febbraio, è salita sul radar di Sophos. “Ora che gli attori che si celano dietro il ransomware BlackByte e questa tecnica sofisticata sono tornati dopo una breve pausa, ci sono buone probabilità che continuino ad abusare di driver legittimi per aggirare i prodotti di sicurezza”, ha scritto Klopsch nel post sul blog. Un aspetto positivo evidenziato nel blog è che gli attori delle minacce raramente distribuiscono driver legittimi con vulnerabilità zero-day, quindi la patch può mitigare la tecnica di attacco. Tuttavia, Budd ha avvertito che, trattandosi di un attacco BYOD, una sfida è rappresentata essenzialmente dal fatto che l’attore delle minacce porta con sé il driver vulnerabile insieme al resto del malware. “Lo lascerà cadere, lo caricherà e poi lo sfrutterà”, ha detto Budd. “Le cose da fare sono davvero due. In primo luogo, è necessario mantenere i driver aggiornati, ma anche tenere il malware fuori dal sistema”. Sophos raccomanda di tenere traccia degli avvisi di sicurezza, in modo che le aziende possano essere aggiornate su quali driver legittimi vengono attualmente sfruttati dagli attori delle minacce. Inoltre, il blog ha sottolineato che è importante tenere sempre sotto controllo i driver installati su un computer.
