BlackByte fidye yazılımı çetesi, araştırmacıların “Bring Your Own Driver” adını verdiği ve çeşitli güvenlik çözümleri tarafından kullanılan 1.000’den fazla sürücüyü devre dışı bırakarak korumaları atlamayı sağlayan yeni bir teknik kullanıyor.
Bu gruba atfedilen son saldırılar, MSI Afterburner RTCore64.sys sürücüsünün bir ayrıcalık yükseltme ve kod yürütme hatasına karşı savunmasız olan bir sürümünü içeriyordu. CVE-2019-16098.
İzin verilen güvenlik sorunundan yararlanma siyahbayt çoklu uç nokta algılama ve yanıt (EDR) ve virüsten koruma ürünlerinin normal şekilde çalışmasını engelleyen sürücüleri devre dışı bırakmak için.
“Bring Your Own Vulnerable Driver” (BYOVD) yöntemi, savunmasız sürücülerin geçerli bir sertifika ile imzalanması ve sistem üzerinde yüksek ayrıcalıklarla çalıştırılması nedeniyle etkilidir.
BYOVD saldırılarının iki önemli yeni örneği Lazarus’u içeriyor buggy Dell sürücüsünü kötüye kullanmak ve bilinmeyen hackerlar hile karşıtı bir sürücüyü/modülü kötüye kullanmak Genshin Darbe oyunu için.
Saldırı ayrıntıları
Siber güvenlik şirketi Sophos’ta güvenlik araştırmacıları açıklamak kötüye kullanılan MSI grafik sürücüsünün, Microsoft’un çekirdek bellek erişimiyle ilgili güvenlik yönergelerini ihlal eden, kullanıcı modu işlemleri tarafından doğrudan erişilebilen G/Ç kontrol kodları sunduğunu.
Bu, saldırganların kabuk kodu veya açıklardan yararlanmadan çekirdek belleğindeki kodu okumasını, yazmasını veya yürütmesini mümkün kılar.
Saldırının ilk aşamasında, BlackByte, çekirdek kimliğiyle eşleşen doğru ofsetleri seçmek için çekirdek sürümünü tanımlar.
Ardından, RTCore64.sys “AppData\Roaming” içine bırakılır ve sabit kodlanmış bir ad ve rastgele seçilmiş, pek de ince olmayan bir görünen ad kullanarak bir hizmet oluşturur.
Saldırganlar daha sonra güvenlik aracı işlemlerine karşılık gelen Çekirdek Bildirim Rutinlerini kaldırmak için sürücünün güvenlik açığından yararlanır.
Alınan geri arama adresleri, ilgili sürücü adını türetmek için kullanılır ve AV/EDR araçlarının işlevini destekleyen 1.000 hedefli sürücü listesiyle karşılaştırılır.
Bu aşamada bulunan tüm eşleşmeler, geri arama işlevinin adresini tutan öğenin üzerine sıfırlarla yazılarak kaldırılır, böylece hedeflenen sürücü geçersiz kılınır.
Sophos ayrıca BlackByte’ın bu saldırılarda güvenlik araştırmacılarının analizlerinden kaçmak için kullandığı, örneğin hedef sistemde çalışan bir hata ayıklayıcının işaretlerini aramak ve çıkmak gibi birkaç yöntemi vurgular.
BlackByte kötü amaçlı yazılımı ayrıca Avast, Sandboxie, Windows DbgHelp Library ve Comodo Internet Security tarafından kullanılan kancalı DLL’lerin bir listesini kontrol eder ve bulunursa yürütmesini sonlandırır.
Sistem yöneticileri, belirli MSI sürücüsünü aktif bir engelleme listesine ekleyerek BlackByte’ın yeni güvenlik atlama hilesine karşı koruma sağlayabilir.
Ek olarak, yöneticiler tüm sürücü yükleme olaylarını izlemeli ve donanım eşleşmesi olmayan hileli enjeksiyonları bulmak için bunları sık sık incelemelidir.