AuKill工具使用BYOVD攻击禁用EDR软件
勒索软件运营商使用AuKill工具通过自带易受攻击的驱动程序(BYOVD)攻击来禁用EDR软件。
Sophos研究人员报告说,威胁行为者正在使用以前未记录的防御规避工具(称为 AuKill)来禁用端点检测和响应 (EDR) 软件。
该工具依赖自带易受攻击的驱动程序 (BYOVD) 技术来禁用EDR。在BYOVD攻击中,威胁行为者滥用安全产品所依赖的合法签名驱动程序中的漏洞,以实现成功的内核模式利用。
AuKill滥用16.32版Microsoft 实用程序Process Explorer使用的过时版本的驱动 程序来禁用EDR进程。
Sophos研究人员调查了自2023年初以来攻击者使用该工具的至少三起勒索软件事件。1月和2月,威胁行为者使用该工具禁用EDR并部署Medusa Locker勒索软件;2 月,专家观察到攻击者在部署Lockbit 索软件之前使用该工具。
Sophos报告称,滥用Process Explorer驱动程序绕过EDR系统的技术已在2021年6月发布的开源工具Backstab中实现。
研究人员收集了AuKill恶意软件的六种不同变体,这些变体与开源工具Backstab有多种相似之处。研究人员观察到的相似之处包括特征调试字符串,以及与驱动程序交互的几乎相同的代码流逻辑。
去年11月,Sophos X-Ops报告称,LockBit勒索软件组织的一个分支机构使用Backstab禁用受感染机器上的EDR进程。
默认情况下,Windows使用驱动程序签名强制功能来确保内核模式驱动程序在操作系统允许其执行之前已由有效的代码签名机构签名。
为了绕过安全措施,威胁行为者需要找到一种方法让恶意驱动程序通过受信任的证书签名,或者滥用合法的商业软件驱动程序来达到他们的目标。
在Sophos观察到的攻击中,威胁参与者使用了由 Microsoft 创建并签名的驱动程序。
“Process Explorer驱动程序是Sysinternals团队开发的管理工具套件的一部分,它实现了多种功能以与正在运行的进程进行交互。”“AuKill将名为PROCEXP.SYS的驱动程序(来自进程资源管理器的发行版16.32)放入C:\Windows\System32\drivers路径。合法的Process Explorer驱动程序名为PROCEXP152.sys,通常位于同一位置。两个驱动程序都可以存在于运行Process Explorer副本的机器上。AuKill安装程序还将其自身的可执行副本放入system32或TEMP目录,它作为服务运行。”
研究人员指出,AuKill工具需要管理权限才能执行,这种情况表明使用该工具的威胁行为者已经通过其他方式获得了权限。
EDR软件由多个组件组成,因此,如果其中一个组件崩溃或终止,它通常会重新启动。AuKill启动了几个线程来保证这些 EDR进程和服务在终止后不能重新启动。
以下是研究人员针对 BYOVD 攻击提供的建议列表:
- 使用实施和启用篡改保护的端点安全产品。
- 阻止攻击者可以提升他们控制的特权。
- 保持系统和应用程序更新。
- 如果系统中已经存在易受攻击的驱动程序,也可能会发生合法的驱动程序滥用。拥有强大的漏洞管理程序可以帮助缩小此类保护漏洞。
