Новый метод атаки под названием “Bring Your Own Vulnerable Driver” набирает обороты.
https://www.securitylab.ru/upload/ib...p9g5avkcwx.png
Группировка BlackByte использует новую технику, которую исследователи называют Bring Your Own Vulnerable Driver" (BYOVD), позволяющую обойти защиту путем отключения более 1000 драйверов, используемых различными системами безопасности. В своих последних атаках группировка использовала драйвер MSI Afterburner RTCore64.sys, в котором не исправлена уязвимость CVE-2019-16098, позволяющая злоумышленникам повышать привилегии и выполнять произвольный код.
ИБ-специалисты из компании Sophos объясняют , что используемый злоумышленниками драйвер предоставляет коды управления вводом-выводом, доступные непосредственно процессам пользовательского режима. Это позволяет хакерам читать, записывать или выполнять код в памяти ядра без использования эксплойтов или шеллкодов.
Атака BlackByte отключение систем защиты выглядит так:<ul><li>Злоумышленники определяют версию ядра, чтобы выбрать правильные смещения ядра;</li>
</ul>https://www.securitylab.ru/upload/im...t-img(555).png<ul><li>После подбора смещений RTCore64.sys выгружается в "AppData\Roaming" и создает службу, используя одно из жестко закодированных имен;</li>
</ul>https://www.securitylab.ru/upload/im...t-img(556).png<ul><li>Затем злоумышленники используют CVE-2019-16098 для удаления (путем обнуления) важного параметра под названием NotifyRoutine, который является адресом callback-функции обработчика событий. Хакеры обнуляют только те адреса, которые ведут к драйверам продуктов, поддерживающим функции AV/EDR. Обычно ими являются различные защитные системы.</li>
</ul>Эксперты сообщили, что системные администраторы могут защититься от нового трюка BlackByte, просто добавив уязвимый MSI-драйвер в список блокировки.
Напомним, метод BYOVD совсем недавно использовала группировка Lazarus. С его помощью злоумышленники похожим образом обошли системы защиты.