O grupo de ransomware BlackByte, que o governo dos EUA diz representar uma séria ameaça às infraestruturas críticas do país, foi detectado usando técnicas sofisticadas para contornar as ferramentas de detecção e resposta de endpoint (EDR). O operadores do malware usando a tática do BYOVD (sigla em inglês para bring your own vulnerable driver, ou traga seu próprio driver vulnerável) para contornar mais de mil drivers usados por produtos EDR disponíveis comercialmente, de acordo com a Sophos.
O fornecedor de segurança cibernética explicou em um novo relatório que o grupo explorou uma vulnerabilidade conhecida (CVE-2019-16098) no driver do utilitário gráfico do Windows RTCorec6.sys. Isso teria permitido que ele se comunicasse diretamente com o kernel do sistema da vítima e emitisse comandos para desabilitar as rotinas de retorno de chamada usadas pelas ferramentas EDR.
O grupo também usou técnicas de desvio de EDR emprestadas da ferramenta de código aberto EDRSandblast para desativar o provedor Microsoft-Windows-Threat-Intelligence ETW (Event Tracing for Windows). “Este é um recurso do Windows que fornece logs sobre o uso de chamadas de API comumente maliciosas, como NtReadVirtualMemory para injetar na memória de outro processo”, explicou a Sophos. Neutralizá-lo dessa maneira torna qualquer ferramenta de segurança que dependa do recurso também inútil, argumentou a empresa.
Veja isso
52 infraestruturas críticas atacadas por ransomware nos EUA
NSA orienta sobre como proteger infraestruturas críticas de OT/ICS
“Se você pensa nos computadores como uma fortaleza, para muitos provedores de EDR, o ETW é o guarda no portão da frente”, disse Christopher Budd, gerente sênior de pesquisa de ameaças da Sophos. “Se a guarda cair, isso deixa o resto do sistema extremamente vulnerável. E, como o ETW é usado por tantos provedores diferentes, o conjunto de alvos potenciais da BlackByte para implantar esse desvio de EDR é enorme.”
O BlackByte não é o único grupo de ransomware que usa essas técnicas avançadas para contornar as ferramentas de detecção existentes, ilustrando a contínua corrida armamentista entre invasores e defensores. AvosLocker usou um método semelhante em maio, disse a Sophos.
“Ironicamente, pelo que estamos vendo em campo, parece que o bypass de EDR está se tornando uma técnica mais popular para grupos de ameaças de ransomware”, disse Budd à Infosecurity. “Isso não é surpreendente. Os operadores de ameaças geralmente utilizam ferramentas e técnicas desenvolvidas pela indústria de ‘segurança ofensiva’ para lançar ataques mais rapidamente e com o mínimo de esforço.”