Группировка BlackByte научилась вырубать системы защиты с помощью легитимного драйвера

Группировка BlackByte использует новую технику, которую исследователи называют Bring Your Own Vulnerable Driver" (BYOVD), позволяющую обойти защиту путем отключения более 1000 драйверов, используемых различными системами безопасности. В своих последних атаках группировка использовала драйвер MSI Afterburner RTCore64.sys, в котором не исправлена уязвимость CVE-2019-16098, позволяющая злоумышленникам повышать привилегии и выполнять произвольный код.

ИБ-специалисты из компании Sophos объясняют , что используемый злоумышленниками драйвер предоставляет коды управления вводом-выводом, доступные непосредственно процессам пользовательского режима. Это позволяет хакерам читать, записывать или выполнять код в памяти ядра без использования эксплойтов или шеллкодов.

Атака BlackByte отключение систем защиты выглядит так:

• Злоумышленники определяют версию ядра, чтобы выбрать правильные смещения ядра;

• После подбора смещений RTCore64.sys выгружается в "AppData\Roaming" и создает службу, используя одно из жестко закодированных имен;

• Затем злоумышленники используют CVE-2019-16098 для удаления (путем обнуления) важного параметра под названием NotifyRoutine, который является адресом callback-функции обработчика событий. Хакеры обнуляют только те адреса, которые ведут к драйверам продуктов, поддерживающим функции AV/EDR. Обычно ими являются различные защитные системы.

Эксперты сообщили, что системные администраторы могут защититься от нового трюка BlackByte, просто добавив уязвимый MSI-драйвер в список блокировки.

Напомним, метод BYOVD совсем недавно использовала группировка Lazarus. С его помощью злоумышленники похожим образом обошли системы защиты.