Вымогатели научились деактивировать EDR-решения через уязвимый драйвер сторонней Windows-утилиты Process Explorer

Согласно последнему отчёту компании Sophos, злоумышленники в последнее время всё чаще используют новый хакерский инструмент, получивший название «AuKill». Инструмент используется для отключения защитных EDR-систем на компьютерах жертв для последующего развертывания бэкдоров и программ-вымогателей в BYOVD-атаках.

Вредоносное ПО AuKill помещает уязвимый драйвер «procexp.sys» рядом с тем, который используется законной сторонней утилитой Process Explorer v16.32. Данная утилита помогает собирать информацию об активных процессах Windows. Далее вредонос «прикидывается» службой TrustedInstaller, установщиком модулей Windows, чтобы повысить свои полномочия до SYSTEM.

Для отключения программного обеспечения безопасности, AuKill запускает сразу несколько потоков, чтобы постоянно проверять и завершать процессы/службы EDR-решений, предотвращая их перезапуск.

В дикой природе (ITW) специалисты наблюдали несколько версий AuKill. Часть из них были развёрнуты в нескольких инцидентах, которые привели к заражению организаций программами-вымогателями LockBit и Medusa Locker.

«С начала 2023 года этот инструмент использовался как минимум во время трёх инцидентов с программами-вымогателями для саботажа защиты жертв и последующего развертывания программ-вымогателей», — говорится в отчёте Sophos.

AuKill похож на другой инструмент с открытым исходным кодом под названием Backstab, который также использует уязвимый драйвер утилиты Process Explorer для отключения решений безопасности. Backstab ранее использовался бандой LockBit, по крайней мере в одной атаке, которую специалисты Sophos наблюдали при анализе последней версии одноимённого вредоноса.

«Мы обнаружили много общего между открытым исходным кодом Backstab и AuKill. Некоторые из этих сходств включают похожие строки отладки и почти идентичную логику потока кода для взаимодействия с драйвером», — заявили исследователи.

В то время как самый старый образец AuKill был скомпилирован в ноябре 2022 года, последний злоумышленники скомпилировали в середине февраля, когда вредонос и был задействован в атаках LockBit.