Il ransomware si nasconde nei driver con certificati validi
Sophos X-Ops ha trovato codice dannoso in diversi driver firmati con certificati digitali legittimi. Il nuovo report Signed driver malware moves up the software trust chain descrive l'indagine, iniziata con un tentativo di attacco ransomware. Gli aggressori hanno utilizzato un driver dannoso firmato con un certificato digitale legittimo di Windows Hardware Compatibility Publisher di Microsoft. Il driver dannoso mira specificamente ai processi utilizzati dai principali pacchetti software di rilevamento e risposta degli endpoint (EDR). È stato installato da un malware associato agli attori delle minacce che fanno capo al Cuba Ransomware Goup, un gruppo altamente prolifico che l'anno scorso ha attaccato con successo più di 100 aziende in tutto il mondo. Sophos Rapid Response è riuscito a sventare l'attacco. Questa indagine ha innescato un'ampia collaborazione tra Sophos e Microsoft per intervenire ed eliminare la minaccia.
Driver dannosi firmati con certificati rubatiI driver possono eseguire operazioni altamente privilegiate sui sistemi. Ad esempio, i driver in modalità kernel possono terminare molti tipi di software, compresi quelli di sicurezza. Controllare quali driver possono essere caricati è un modo per proteggere i computer da questo tipo di attacchi. Windows richiede che i driver siano dotati di una firma crittografica - un "timbro di approvazione" - prima che il driver possa essere caricato. Tuttavia, non tutti i certificati digitali utilizzati per firmare i driver sono ugualmente affidabili. Alcuni certificati di firma digitale rubati e diffusi su Internet sono stati successivamente utilizzati per firmare malware; altri certificati sono stati acquistati e utilizzati da venditori di software PUA senza scrupoli. L'indagine di Sophos su un driver dannoso utilizzato per sabotare gli strumenti di sicurezza degli endpoint durante un attacco ransomware ha rilevato che gli aggressori hanno agito in modo concertato per passare da certificati digitali meno affidabili a certificati digitali sempre più affidabili.
Cuba molto probabilmente coinvolta"Questi aggressori, molto probabilmente membri del gruppo ransomware Cuba, sanno quello che fanno e sono persistenti", ha dichiarato Christopher Budd, senior manager, threat research di Sophos. "Abbiamo trovato un totale di dieci driver dannosi, tutti varianti della scoperta originale. Questi driver mostrano uno sforzo concertato per aumentare l'affidabilità, con il driver più vecchio che risale almeno a luglio. I driver più vecchi che abbiamo trovato finora sono stati firmati con certificati di aziende cinesi sconosciute. Poi sono riusciti a firmare il driver con un certificato NVIDIA valido, trapelato e revocato. Ora utilizzano un certificato Windows Hardware Compatibility Publisher Digital legittimo di Microsoft, una delle entità più affidabili dell'ecosistema Windows. Se si considera la situazione dal punto di vista della sicurezza aziendale, gli aggressori hanno ricevuto credenziali aziendali valide per entrare nell'edificio senza fare domande e fare tutto ciò che vogliono", ha proseguito Christopher Budd. Un esame più approfondito degli eseguibili utilizzati nel tentativo di attacco ransomware ha rivelato che il driver firmato dannoso è stato scaricato sul sistema di destinazione utilizzando una variante del loader BURNTCIGAR, un malware noto appartenente al gruppo Cuba ransomware. Una volta che il loader ha scaricato il driver sul sistema, attende l'avvio di uno dei 186 diversi nomi di file di programma comunemente utilizzati dai principali pacchetti software per la sicurezza degli endpoint e per l'EDR, quindi tenta di terminare questi processi. In caso di successo, gli aggressori possono distribuire il ransomware.
Tendenza attuale: tentativo di aggirare tutti gli attuali prodotti EDR"Nel 2022 abbiamo osservato che gli aggressori di ransomware tentano sempre più spesso di aggirare i prodotti EDR di molti, se non della maggior parte, dei principali fornitori", continua Christopher Budd. "La tecnica più comune è nota come 'bring your own driver', utilizzata di recente da BlackByte. Questo comporta che gli aggressori sfruttino una vulnerabilità esistente in un driver legittimo. È molto più difficile creare un driver dannoso da zero e farlo firmare da un'autorità legittima. Tuttavia, in caso di successo, è incredibilmente efficace in quanto il driver può eseguire processi arbitrari senza essere messo in discussione". Nel caso di questo particolare driver, praticamente tutto il software EDR è vulnerabile. Fortunatamente, le misure aggiuntive di protezione contro le manomissioni adottate da Sophos sono riuscite a bloccare l'attacco ransomware. La comunità della sicurezza deve essere consapevole di questa minaccia, in modo da poter implementare misure di sicurezza aggiuntive. È probabile che altri aggressori imiteranno questo modello". Sophos ha immediatamente collaborato con Microsoft per risolvere il problema dopo aver scoperto il driver. Microsoft ha rilasciato ulteriori informazioni nel suo avviso di sicurezza, pubblicato nell'ambito del Patch Tuesday.