AuKill è il nuovo malware scoperto dai ricercatori di Sophos X-Ops che conferma come gli attori delle minacce facciano sempre più affidamento sullo sfruttamento di driver legittimi per aggirare le misure di sicurezza durante i loro attacchi.
La nuova minaccia, in particolare, abusa del sistema di firma del driver Process Explorer che, tipicamente, consente agli utenti legittimi di un sistema di interagire con i processi attualmente attivi.
Indice degli argomenti
Così il malware AuKill sfugge al rilevamento
L’ultima indagine di Sophos evidenzia i dettagli di AuKill, nome che è stato assegnato all’ultimo strumento di evasione della sicurezza degli endpoints. Lo strumento AuKill abusa di una versione obsoleta del driver utilizzato dalla versione 16.32 dell’utilità Microsoft, Process Explorer, per disabilitare i processi EDR prima di distribuire una backdoor o un ransomware sul sistema di destinazione.
I driver sono componenti di sistema che forniscono l’accesso a importanti strutture di sicurezza archiviate nella memoria del kernel. Prima di consentire il funzionamento dei driver in modalità kernel, Windows utilizza una tecnica di sicurezza denominata Driver Signature Enforcement.
In questo modo si legittima i driver che siano stati firmati digitalmente da un’autorità di firma del codice riconosciuta prima che Windows consenta il funzionamento del driver stesso.
Per aggirare questa precauzione di sicurezza, gli aggressori stanno implementando un metodo per acquisire un driver dannoso che viene certificato da un’autorità attendibile, sviluppando così un attacco BYOVD (Bring Your Own Vulnerable Driver), in cui sfruttano un driver software commerciale legittimo per raggiungere il proprio obiettivo.
Gli attacchi di questo genere non sono semplici da mettere in pratica. Tuttavia, il malware utilizza un driver autentico che non è aggiornato e può essere sfruttato.
Dall’inizio dell’anno, lo strumento malevolo è stato utilizzato su almeno tre istanze di ransomware per contrastare la protezione del bersaglio e installare il prodotto d’attacco.
Questi eventi hanno evidenziato a gennaio e febbraio l’utilizzo del programma dopo aver distribuito il ransomware noto come Medusa Locker; a febbraio, un utente malintenzionato ha utilizzato AuKill poco prima di rilasciare il malware già noto come Lockbit.
All’interno della cartella “C:\Windows\System32\drivers” il programma di installazione di AuKill inserirà una versione eseguibile di se stesso nella directory System32 o TEMP, dove verrà eseguito automaticamente come servizio in background.
Quali rischi e come mitigarli
Come evidenziato, “lo strumento AuKill richiede privilegi amministrativi per funzionare, ma non può concedere tali privilegi all’attaccante. Gli attori delle minacce che utilizzano AuKill hanno approfittato dei privilegi esistenti durante gli attacchi, quando li hanno ottenuti con altri mezzi”, spiega Sophos nella sua analisi.
Questo non rende l’attacco meno pericoloso, benché gli attori criminali abbiano già il possesso delle credenziali amministrative, gestire in maniera malevola i processi di sistema che possono essere anche protetti nella maggior parte dei casi, configura uno scenario di compromissione pericoloso.
Tra le funzionalità del malware che si evidenziano nell’analisi, appare quella per terminare il processo, disabilitare i servizi e scaricare i driver.
Al fine di rendere attive le protezioni sugli endpoint, Sophos ha rilasciato tutti gli IoC (indici di compromissione) anche per questa minaccia, di modo che possano essere applicati gli aggiornamenti per il rilevamento.
L’integrazione degli indici di compromissione nei propri sistemi di sicurezza unita alla buona abitudine di implementare gli aggiornamenti di sistema (dei programmi generali e del sistema operativo) rappresentano l’unica arma che abbiamo per cercare di sfuggire ad attacchi di questo genere.
