Los actores de amenazas están empleando una “herramienta de evasión de defensa” previamente indocumentada denominada AuKill que está diseñado para deshabilitar el software de detección y respuesta de punto final (EDR) por medio de un ataque Bring Your Own Vulnerable Driver (BYOVD).
“La herramienta AuKill abusa de una versión obsoleta de la conductor utilizado por la versión 16.32 de la utilidad de Microsoft, Explorador de procesospara deshabilitar los procesos EDR antes de implementar una puerta trasera o un ransomware en el sistema de destino”, dijo Andreas Klopsch, investigador de Sophos. dicho en un informe publicado la semana pasada.
Los incidentes analizados por la firma de ciberseguridad muestran el uso de AuKill desde principios de 2023 para implementar varias cepas de ransomware como Medusa Locker y LockBit. Hasta la fecha, se han identificado seis versiones diferentes del malware. La muestra más antigua de AuKill presenta una marca de tiempo de compilación de noviembre de 2022.
La técnica BYOVD se basa en que los actores de amenazas hacen un mal uso de un controlador legítimo, pero desactualizado y explotable, firmado por Microsoft (o usan un certificado robado o filtrado) para obtener privilegios elevados y desactivar los mecanismos de seguridad.
Mediante el uso de controladores legítimos y explotables, la idea es eludir una protección clave de Windows conocida como Driver Signature Enforcement que garantiza que los controladores en modo kernel hayan sido firmados por una autoridad de firma de código válida antes de que se les permita ejecutarse.
“La herramienta AuKill requiere privilegios administrativos para funcionar, pero no puede otorgar esos privilegios al atacante”, señalaron los investigadores de Sophos. “Los actores de amenazas que usaron AuKill se aprovecharon de los privilegios existentes durante los ataques, cuando los obtuvieron por otros medios”.
Esta no es la primera vez que el controlador Process Explorer firmado por Microsoft ha sido utilizado como arma en ataques. En noviembre de 2022, Sophos también detalló el uso por parte de los afiliados de LockBit de una herramienta de código abierto llamada puñalada por la espalda que abusaba de versiones obsoletas del controlador para finalizar procesos antimalware protegidos.
Luego, a principios de este año, se detectó una campaña de publicidad maliciosa que utilizaba el mismo controlador para distribuir un cargador .NET llamado MalVirt para implementar el malware de robo de información FormBook.
El desarrollo se presenta como el AhnLab Security Emergency Response Center (ASEC) reveló que los servidores MS-SQL mal administrados están siendo armados para instalar el trigona ransomware, que comparte superposiciones con otra cepa conocida como CryLock.
también sigue recomendaciones que se ha observado que los actores del ransomware Play (también conocido como PlayCrypt) usan herramientas personalizadas de recolección de datos que hacen posible enumerar todos los usuarios y computadoras en una red comprometida y copiar archivos del Servicio de instantáneas de volumen (VSS).
Grixba, un ladrón de información basado en .NET, está diseñado para escanear una máquina en busca de programas de seguridad, software de respaldo y herramientas de administración remota, y exfiltrar los datos recopilados en forma de archivos CSV que luego se comprimen en archivos ZIP.
La banda de ciberdelincuentes, rastreada por Symantec como Balloonfly, también utiliza una herramienta de copia de VSS escrita en .NET que hace uso de la Marco AlphaVSS para enumerar archivos y carpetas en una instantánea de VSS y copiarlos en un directorio de destino antes del cifrado.
Zero Trust + Deception: ¡Aprende a ser más astuto que los atacantes!
Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!
Play ransomware se destaca no solo por utilizar cifrado intermitente para acelerar el proceso, sino también por el hecho de que no funciona con un modelo de ransomware como servicio (RaaS). La evidencia recopilada hasta ahora apunta a que Balloonfly lleva a cabo los ataques de ransomware y también desarrolla el malware.
Grixba y VSS Copying Tool son las últimas de una larga lista de herramientas propietarias como Exmatter, Exbytey secuencias de comandos basadas en PowerShell que utilizan los actores de ransomware para establecer un mayor control sobre sus operaciones, al tiempo que agregan capas adicionales de complejidad para persistir en entornos comprometidos y evadir la detección.
Otra técnica cada vez más adoptada por grupos motivados financieramente es el uso del lenguaje de programación Go para desarrollar malware multiplataforma y análisis de resistencia y Ingeniería inversa esfuerzos
De hecho, un informe de Cyble la semana pasada documentó un nuevo ransomware GoLang llamado CrossLock que emplea la técnica de doble extorsión para aumentar la probabilidad de pago de sus víctimas, además de tomar medidas para eludir el seguimiento de eventos para Windows (ETW).
“Esta funcionalidad puede permitir que el malware evite la detección por parte de los sistemas de seguridad que dependen de los registros de eventos”, Cyble dicho. “CrossLock Ransomware también realiza varias acciones para reducir las posibilidades de recuperación de datos al mismo tiempo que aumenta la efectividad del ataque”.