Una nuova tecnica ribattezzata Bring Your Own Vulnerable Driver (BYOVD) sarebbe stata utilizzata in attacchi recenti attribuibili al gruppo ransomware BlackByte coinvolgendo la versione 4.6.2.15658 del driver MSI AfterBurner di Micro-Star, vulnerabile a un difetto di esecuzione di codice con escalation dei privilegi.
Lo sfruttamento del problema di sicurezza avrebbe consentito all’attore delle minacce di disabilitare i driver che impediscono il normale funzionamento di prodotti antivirus e di protezione.
“Abbiamo trovato una tecnica sofisticata per aggirare i prodotti di sicurezza abusando di una vulnerabilità nota nel driver vulnerabile legittimo RTCore64.sys. La tecnica di evasione supporta la disabilitazione di un enorme elenco di oltre 1.000 driver su cui si basano i prodotti di sicurezza per fornire protezione.”, si legge nel rapporto pubblicato dai ricercatori Sophos.
Già in passato il gruppo ransomware BlackByte si era fatto notare per essere riusciti a violare reti al fine di rubare dati e crittografare i dispositivi target sfruttando le vulnerabilità della catena ProxyShell che ha coinvolto i server Microsoft Exchange.
Indice degli argomenti
La vulnerabilità sfruttata da BlackByte
Il difetto di sicurezza identificato come CVE-2019-16098, consentendo a un utente autenticato di leggere e scrivere su memoria in modo arbitrario, potrebbe essere sfruttato per l’escalation dei privilegi, l’esecuzione di codice con privilegi elevati e divulgazione di informazioni.
Nella fattispecie, secondo la ricostruzione fatta dagli esperti Sophos, abusando di tale vulnerabilità nota nel driver legittimo RTCore64.sys (utilità di overclocking per un controllo esteso sulle schede grafiche del sistema che offre codici di controllo I/O accessibili direttamente dai processi in modalità utente, violando le linee guida di sicurezza Microsoft), BlackByte sarebbe riuscito ad abusare dei driver firmati per leggere, scrivere o eseguire codice nella memoria del kernel alterando le routine di notifica kernel per disabilitare i prodotti di sicurezza.
“Queste routine vengono spesso utilizzate dai driver relativi ai prodotti di sicurezza per raccogliere informazioni sull’attività del sistema. Un obiettivo di un utente malintenzionato potrebbe essere quello di rimuovere queste callback dalla memoria del kernel”, afferma il ricercatore Sophos Andreas Klopsch.
Ransomware BlackByte: come avviene l’attacco
I dettagli dell’attacco, ricavati grazie all’analisi condotta su di un campione BlackByte variante scritto in linguaggio di programmazione Golang, riguardano solo le fasi principali del cosiddetto bypass EDR (rilevamento e risposta degli endpoint) e su come viene implementata la rimozione delle callback del kernel.
Nella fase 1 dell’attacco, BlackByte identifica la versione del kernel per selezionare gli offset corretti corrispondenti all’ID del kernel.
Una volta identificata la versione del kernel e determinati gli offset, BlackByte continua rilasciando RTCore64.sys nella cartella “AppData\Roaming”, creando un servizio e infine avviandolo.
Dopo aver determinato gli offset e aver installato il servizio, l’algoritmo prosegue con la fase 2 ovvero con il recupero degli indirizzi delle funzioni callback e la relativa rimozione dalla memoria del kernel di quelle che corrispondono ai processi degli strumenti di sicurezza (l’elemento trovato che contiene l’indirizzo alla funzione callback del driver utilizzato dai prodotti EDR viene sovrascritto con degli zeri).
“Durante la nostra analisi, abbiamo riscontrato molteplici somiglianze tra lo strumento open source EDRSandblast e l’implementazione EDR Bypass di cui abbiamo appena parlato. EDRSandblast è uno strumento scritto in C per armare i driver firmati vulnerabili per aggirare i rilevamenti EDR tramite vari metodi. Pertanto, riteniamo che il gruppo dietro BlackByte abbia almeno copiato più snippet di codice dallo strumento open source e lo abbia reintegrato nel ransomware”, conclude l’esperto.
Prevenire in modo proattivo
Il metodo “Bring Your Own Vulnerable Driver” (BYOVD), come visto, risulta efficace perché consente di abusare di driver legittimi per aggirare i prodotti di sicurezza. I driver vulnerabili sono firmati con un certificato valido e vengono eseguiti con privilegi elevati sul sistema.
Alla luce di tutto questo si consiglia di interdire l’esecuzione del driver MSI oggetto di discussione, monitorando in generale tutti gli eventi di installazione dei driver allo scopo di intercettare eventuali iniezioni non autorizzate.
Come strumento di aiuto a prevenire in modo proattivo tali attacchi, Sophos ha condiviso il rapporto e un elenco di IoC associati a questa minaccia, sulla piattaforma GitHub.
