I slutningen af ​​december 2022 afslørede tre fremtrædende cybersikkerhedsfirmaer, Mandiant, Sophos og Sentinel One, i fællesskab en bekymrende opdagelse. De rapporterede, at ondsindede kernedrivere var blevet signeret ved hjælp af flere Microsoft hardwareudviklerkonti, certificeret under Windows Hardware Developer Program. Disse ondsindede profiler viste sig at være forbundet med adskillige cyberangreb, herunder ransomware-hændelser. Som et svar tilbagekaldte Microsoft omgående de kompromitterede hardwareudviklerkonti, der var blevet misbrugt i disse angreb.

Dette blogindlæg har til formål at give en dybdegående analyse af en specifik hændelse, der involverer BlackCat ransomware, som fandt sted i februar 2023. Under vores undersøgelse identificerede vi en ny kapacitet, der blev brugt af angriberne under forsvarsunddragelsesfasen. Denne evne udviste slående ligheder med de tidligere afslørede ondsindede drivere. BlackCat ransomware-gruppen er kendt for at anvende forskellige teknikker til at forhindre defensive foranstaltninger, såsom deaktivering og ændring af sikkerhedsværktøjer eller brug af sikker tilstand boot-teknikker.

Vores analyse kaster lys over denne nyfundne evne, som involverer brugen af ​​en signeret kernedriver til unddragelsesformål. Vi mener, at denne opdaterede kernedriver er en udviklet version, der stammer fra de eksempler, der tidligere er blevet afsløret af de tre leverandørers samarbejdende forskning. Driveren blev installeret sammen med en separat eksekverbar brugerklient, med det formål at få kontrol over, pause og afslutte processer forbundet med sikkerhedsagenterne, der er installeret på målrettede slutpunkter.

Forskellige metoder anvendes af ondsindede aktører til at signere deres kernedrivere. Disse metoder involverer ofte misbrug af Microsofts signeringsportaler, brug af lækkede eller stjålne certifikater eller endda ty til underjordiske tjenester. I det tilfælde, vi undersøgte, forsøgte angriberne at indsætte en ældre driver, som ellers tidligere var blevet afsløret af Mandiant. Den driver blev signeret af Microsoft SHA256:b2f955b3e6107f831ebe67997f8586d4fe9f3e98

Men da denne driver allerede var blevet afsløret og opdaget, valgte de ondsindede aktører at bruge en anden kernedriver, der var blevet signeret ved hjælp af et stjålet eller lækket krydssigneringscertifikat. Trend Micro holder et vågent øje med misbrug af signerede chauffører og de tilhørende værktøjer, taktikker og procedurer (TTP'er), der anvendes inden for denne angrebsflade.

Ondsindede signerede kernedrivere:

Den ransomware-hændelse, vi observerede i februar 2023, fremhæver den betydelige interesse, ransomware-operatører og deres tilknyttede virksomheder har i at få privilegeret adgang til deres angrebsnyttelast. Disse operatører anvender ofte ransomware-familier, der inkorporerer komponenter på lavt niveau for at undgå registrering af sikkerhedsprodukter efter at have droppet den endelige nyttelast. Ved at kortlægge dræbningskæderne for disse trusler på kerneniveau har vi fastslået, at de fleste kernerelaterede nyttelaster overvejende findes i forsvarsparefasen.

Nogle ransomware-angreb gør en indsats for at overholde Microsofts krav til kodesignering. Denne overholdelse giver ondsindede aktører fleksibiliteten til at kompilere kernemoduler, der tjener specifikke opgaver, især dem, der involverer forsvarsforringelse og unddragelse.

Ransomware-operatører har to primære tilgange til deres rådighed:

De kan bruge et kodesigneringscertifikat opnået gennem midler som lækager, tyveri fra kompromitterede miljøer eller køb fra dark web markeder.

Alternativt kan de erhverve et gyldigt kodesigneringscertifikat ved at efterligne legitime enheder og følge Microsofts proces for at opnå et krydssigneringscertifikat (tilbage da Microsoft tillod krydssignering for kode i kernetilstand). Denne tilgang involverer ofte misbrug af Microsofts portal til at udstede signerede kernemoduler eller køb af gyldige kodesigneringscertifikater, inklusive Extended Validation (EV)-certifikater knyttet til rigtige identiteter, fra underjordiske markeder.

Hvordan imødekommer man sådanne trusler?

Inden for cybersikkerhed tilpasser ondsindede aktører konstant deres taktik for at overvinde de forbedrede beskyttelsesforanstaltninger, der implementeres af operativsystemer. Da endpoint protection platform (EPP) og endpoint detection and response (EDR) teknologier styrker sikkerheden for brugere og processer, søger angribere veje, der giver mindst modstands vej til at eksekvere deres ondsindede kode. Ofte involverer dette målretning mod kernelaget eller endda lavere niveauer af Windows-operativsystemet. Det er denne vedholdenhed og effektivitet, der får os til at tro, at sådanne trusler vil forblive fremherskende i arsenalet af trusselsaktører i en overskuelig fremtid.

For at omgå sikkerhedsværktøjer, forringe forsvar og undgå registrering, er ondsindede aktører ofte afhængige af rootkits.

Hvad er Rootkits?

Disse værktøjer bruges til at skjule ondsindet kode, hvilket gør det muligt for angribere at operere skjult i længere perioder. Sofistikerede trusselsgrupper med de nødvendige færdigheder til at omdanne systemkomponenter på lavt niveau og rigelige ressourcer til at udvikle sådanne værktøjer, bruger i høj grad rootkits. Derudover kan ondsindede aktører vælge at købe rootkits fra dark web kilder eller erhverve kodesigneringscertifikater for at skabe deres egne. Følgelig ligger den primære fare forbundet med disse rootkits i deres evne til at skjule komplekse målrettede angreb, ofte indsat tidligt i drabskæden. Ved at forringe forsvaret, før de lancerer de faktiske nyttelaster i offermiljøer, opnår angriberne en strategisk fordel. Kodesigneringscertifikater bidrager yderligere til den sløring, som trusselsaktører anvender. Kompromitterede nøgler udgør ikke kun en sikkerhedsrisiko for organisationer, men bringer også deres omdømme i fare og udhuler tilliden til den originale signerede software.

For at mindske disse risici bør organisationer vedtage bedste praksis for certifikatbeskyttelse. Dette inkluderer begrænsning af adgang til private nøgler for at minimere potentialet for uautoriseret brug. Anvendelse af stærke adgangskoder og implementering af robuste autentificeringsmetoder for private nøgler kan også beskytte mod tyveri eller kompromittering fra ondsindede aktører. Ydermere kan organisationer bruge separate testsigneringscertifikater til pre-release-kode, der bruges i testmiljøer for at reducere sandsynligheden for misbrug mod faktiske udgivelsessigneringscertifikater i et angreb.

For at beskytte mod generelle ransomware-angreb bør organisationer vedtage en systematisk sikkerhedsramme, der prioriterer allokering af ressourcer til at etablere en robust forsvarsstrategi.