Kendi savunmasız sürücünüzü getirin (BYOVD) saldırısının bir başka durumunda, BlackByte fidye yazılımının operatörleri, güvenlik çözümlerini atlamak için meşru bir Windows sürücüsündeki bir kusurdan yararlanıyor.
Sophos tehdit araştırmacısı Andreas Klopsch, “Kaçış tekniği, güvenlik ürünlerinin koruma sağlamak için güvendiği 1.000’den fazla sürücüden oluşan bir listenin devre dışı bırakılmasını destekliyor.” söz konusu yeni bir teknik yazımda.
BYOVD bir saldırı tekniği Bu, başarılı çekirdek modu istismarı elde etmek ve güvenliği ihlal edilmiş makinelerin kontrolünü ele geçirmek için meşru, imzalı sürücülerdeki güvenlik açıklarını kötüye kullanan tehdit aktörlerini içerir.
İmzalı sürücülerdeki zayıflıklar, son yıllarda Slingshot, InvisiMole, APT28 ve en son olarak Lazarus Group dahil olmak üzere ulus devlet tehdit grupları tarafından giderek daha fazla tercih ediliyor.
Artık üretimi durdurulan Conti grubunun bir dalı olduğuna inanılan BlackByte, bir hizmet olarak fidye yazılımı (RaaS) planının bir parçası olarak büyük, yüksek profilli hedeflere odaklanan büyük oyun siber suç ekiplerinin bir parçasıdır.
Siber güvenlik firmasına göre, grup tarafından yapılan son saldırılar, bir ayrıcalık yükseltme ve kod yürütme kusurundan yararlandı (CVE-2019-16098CVSS puanı: 7.8) Micro-Star MSI Afterburner RTCore64.sys sürücüsünü etkileyen güvenlik ürünlerini devre dışı bırakmak.
Dahası, bir analiz fidye yazılımı örneği arasında birçok benzerliği ortaya çıkarmıştır. EDR uygulamayı ve adı verilen C tabanlı bir açık kaynak aracının uygulamasını atlayın. EDRSandblastalgılamadan kaçınmak için savunmasız imzalı sürücüleri kötüye kullanmak üzere tasarlanmıştır.
BlackByte, hedeflerine ulaşmak için BYOVD yöntemini benimseyen en yeni fidye yazılımı ailesidir. RobbinHood ve her ikisi de gdrv.sys (CVE-2018-19320) ve asWarPot.sys uç nokta koruma yazılımıyla ilişkili süreçleri sonlandırmak için.
BYOVD saldırılarına karşı korunmak için, sistemlerde kurulu sürücülerin takip edilmesi ve güncel olduklarından emin olunması veya istismar edilebilir olduğu bilinen sürücülerin engellenenler listesine alınması önerilir.