Los actores de amenazas están empleando una “herramienta de evasión de defensa” previamente no documentada denominada AuKill que está diseñada para deshabilitar el software de detección y respuesta de punto final (EDR) por medio de un ataque Bring Your Own Vulnerable Driver (BYOVD).
“La herramienta AuKill abusa de una versión obsoleta del controlador utilizado por la versión 16.32 de la utilidad de Microsoft, Process Explorer, para deshabilitar los procesos EDR antes de implementar una puerta trasera o un ransomware en el sistema de destino”, dijo el investigador de Sophos, Andreas Klopsch, en un informe publicado el pasado año. semana.
Los incidentes analizados por la firma de ciberseguridad muestran el uso de AuKill desde principios de 2023 para implementar varias cepas de ransomware como Medusa Locker y LockBit. Hasta la fecha, se han identificado seis versiones diferentes del malware. La muestra más antigua de AuKill presenta una marca de tiempo de compilación de noviembre de 2022.
La técnica BYOVD se basa en que los actores de amenazas hacen un mal uso de un controlador legítimo, pero desactualizado y explotable, firmado por Microsoft (o usan un certificado robado o filtrado) para obtener privilegios elevados y desactivar los mecanismos de seguridad.
Mediante el uso de controladores legítimos y explotables, la idea es eludir una protección clave de Windows conocida como Driver Signature Enforcement que garantiza que los controladores en modo kernel hayan sido firmados por una autoridad de firma de código válida antes de que se les permita ejecutarse.
“La herramienta AuKill requiere privilegios administrativos para funcionar, pero no puede otorgar esos privilegios al atacante”, señalaron los investigadores de Sophos. “Los actores de amenazas que usaron AuKill se aprovecharon de los privilegios existentes durante los ataques, cuando los obtuvieron por otros medios”.
Esta no es la primera vez que el controlador Process Explorer firmado por Microsoft ha sido utilizado como arma en ataques. En noviembre de 2022, Sophos también detalló el uso por parte de los afiliados de LockBit de una herramienta de código abierto llamada Backstab que abusaba de versiones obsoletas del controlador para finalizar procesos antimalware protegidos.
Luego, a principios de este año, se detectó una campaña de publicidad maliciosa que utilizaba el mismo controlador para distribuir un cargador .NET llamado MalVirt para implementar el malware de robo de información FormBook.
El desarrollo se produce cuando el AhnLab Security Emergency Response Center (ASEC) reveló que los servidores MS-SQL mal administrados se están armando para instalar el ransomware Trigona, que comparte superposiciones con otra cepa conocida como CryLock.
También sigue los hallazgos de que se ha observado que los actores del ransomware Play (también conocido como PlayCrypt) usan herramientas personalizadas de recolección de datos que hacen posible enumerar todos los usuarios y computadoras en una red comprometida y copiar archivos del Volume Shadow Copy Service (VSS).
Grixba, un ladrón de información basado en .NET, está diseñado para escanear una máquina en busca de programas de seguridad, software de respaldo y herramientas de administración remota, y exfiltrar los datos recopilados en forma de archivos CSV que luego se comprimen en archivos ZIP.
La banda de ciberdelincuentes, rastreada por Symantec como Balloonfly, también utiliza una herramienta de copia de VSS escrita en .NET que utiliza el marco AlphaVSS para enumerar archivos y carpetas en una instantánea de VSS y copiarlos en un directorio de destino antes del cifrado.
Play ransomware se destaca no solo por utilizar cifrado intermitente para acelerar el proceso, sino también por el hecho de que no funciona con un modelo de ransomware como servicio (RaaS). La evidencia recopilada hasta ahora apunta a que Balloonfly lleva a cabo los ataques de ransomware y también desarrolla el malware.
Grixba y VSS Copying Tool son las últimas de una larga lista de herramientas propietarias como Exmatter , Exbyte y scripts basados en PowerShell que utilizan los actores de ransomware para establecer un mayor control sobre sus operaciones, al tiempo que agregan capas adicionales de complejidad para persistir en entornos comprometidos y evadir la detección.
Otra técnica que adoptan cada vez más los grupos motivados financieramente es el uso del lenguaje de programación Go para desarrollar malware multiplataforma y resistir los esfuerzos de análisis e ingeniería inversa .
De hecho, un informe de Cyble la semana pasada documentó un nuevo ransomware GoLang llamado CrossLock que emplea la técnica de doble extorsión para aumentar la probabilidad de pago de sus víctimas, además de tomar medidas para eludir el seguimiento de eventos para Windows (ETW ) .
“Esta funcionalidad puede permitir que el malware evite la detección por parte de los sistemas de seguridad que dependen de los registros de eventos”, dijo Cyble . “CrossLock Ransomware también realiza varias acciones para reducir las posibilidades de recuperación de datos al mismo tiempo que aumenta la efectividad del ataque”.
fuente: thehackernews