今天小編分享的互聯網經驗:勒索軟體黑客采用BYOVD攻擊手法,使用AuKill工具禁用EDR軟體,歡迎閱讀。
威脅分子如今正在使用一種名為 AuKill 的以前未正式記錄的 " 防御逃避工具 ",該工具旨在通過自帶易受攻擊的驅動程式(BYOVD)攻擊來禁用端點檢測和響應(EDR)軟體。
Sophos 的研究人員 Andreas Klopsch 在上周發布的一份報告中聲稱:"AuKill 工具濫用了微軟實用程式 Process Explorer 版本 16.32 所使用的過時驅動程式,在目标系統上部署後門或勒索軟體之前禁用了 EDR 進程。"
這家網絡安全公司分析的事件顯示,自 2023 年初以來,AuKill 被用于部署各個勒索軟體變種,比如 Medusa Locker 和 LockBit。到目前為止,已經确定了六個不同的惡意軟體變種。最古老的 AuKill 樣本其編譯時間戳顯示為 2022 年 11 月。
BYOVD 技術依賴威脅分子濫用由微軟籤名的合法但過時且可利用的驅動程式(或者使用被盜或洩露的證書) ) ,以獲得提升的特權,并關閉安全機制。
其想法是,通過使用有效的、易受影響的驅動程式,繞過一項關鍵的 Windows 保護措施:驅動程式籤名強制(DSE),該措施确保内核模式驅動程式在允許運行之前已由有效的代碼籤名機構籤名。
Klopsch 特别指出:"AuKill 工具需要管理權限才能正常工作,但它無法為攻擊者賦予這些特權。使用 AuKill 的威脅分子在攻擊期間充分利用了現有的特權,他們通過其他手段獲得了這些特權。"
這并不是微軟籤名的 Process Explorer 驅動程式第一次淪為攻擊武器了。2022 年 11 月,Sophos 也詳細披露了 LockBit 加盟組織使用一種名為 Backstab 的開源工具,該工具濫用這個驅動程式的過時版本來終止受保護的反惡意軟體進程。
今年早些時候發現了一起惡意廣告活動,該活動利用同一個驅動程式作為感染鏈的一部分,以分發一個名為 MalVirt 的 .NET 加載程式,從而部署竊取信息的 FormBook 惡意軟體。
與此同時,AhnLab 安全應急響應中心(ASEC)透露,管理不善的 MS-SQL 伺服器正淪為一種攻擊武器,被用來安裝 Trigona 勒索軟體,該勒索軟體與另一種名為 CryLock 的勒索軟體有關聯。
此外,Play 勒索軟體(又名 PlayCrypt)威脅分子使用定制的數據收集工具,從而枚舉被感染網絡上的所有用戶和計算機,并從卷影復制服務(VSS)復制檔案。
Grixba 是一種基于 .NET 的信息竊取惡意軟體,旨在掃描機器上的安全程式、備份軟體和遠程管理工具,并以 CSV 檔案的形式洩露收集到的數據,這些檔案随後被壓縮成 ZIP 檔案包。
這夥網絡犯罪團夥還使用了用 .NET 編寫的 VSS 復制工具(被賽門鐵克編号為 Balloonfly),該工具利用 AlphaVSS 框架列出 VSS 快照中的檔案和檔案夾,并在加密之前将它們復制到目标目錄。
Play 勒索軟體臭名昭著,不僅用間歇性加密來加快這一過程,而且還并不基于勒索軟體即服務(RaaS)模式來運作。迄今為止收集到的證據表明,Ballonfly 不僅自行開發惡意軟體,還實施了勒索軟體攻擊。
勒索軟體威脅分子使用一大批專有工具(比如 Exmatter、Exbyte 和基于 PowerShell 的腳本)更牢牢地控制其實施的攻擊活動,同時還增添了額外的復雜性,以便在被感染的環境中持續存在并逃避檢測,而 Grixba 和 VSS 復制工具正是這類最新的工具。
越來越被以牟利為動機的團夥采用的另一種技術是,使用 Go 編程語言來開發跨平台惡意軟體,并阻礙分析和逆向工程工作。
的确,Cyble 上周的一份報告記錄了一種名為 CrossLock 的新型 GoLang 勒索軟體,該勒索軟體采用雙重勒索技術加大受害者支付贖金的可能性,同時采取措施以規避 Windows 事件跟蹤(ETW)機制。
Cyble 表示:" 這種功能可以使惡意軟體避免被依賴事件日志的安全系統檢測出來。CrossLock 勒索軟體還會采取幾個措施來減小數據恢復的機會,同時提高攻擊的有效性。"
