Un nuevo análisis de EDR Kiellers ha revelado que 54 de ellos aprovechan una
técnica conocida como Trae tu Propio Controlador Vulnerable (Bring Your Own Vulnerable Driver –
BYOVD) al abusar de un total de 34 controladores vulnerables.
Los programas EDR Killer han sido una presencia común en las intrusiones de
ransomware, ya que ofrecen una forma para que los afiliados neutralicen el
software de seguridad antes de implementar malware de cifrado de archivos.
Esto se hace en un intento de evadir la detección.
«Las bandas de ransomware, especialmente aquellas con programas de
ransomware como servicio (RaaS), con frecuencia producen nuevas
compilaciones de sus cifradores, y garantizar que cada nueva compilación no
sea detectada de manera confiable puede llevar mucho tiempo»,
dijo el investigador de ESET, Jakub Souček.
Drivers vulnerables
La técnica BYOVD se ha convertido en el sello distintivo de los EDR killers
modernos: dominante, confiable y ampliamente utilizada. En un escenario
típico, un atacante deja caer un driver legítimo pero vulnerable en la máquina
de la víctima, instala ese driver y luego ejecuta malware que abusa de la
vulnerabilidad del driver. El objetivo es terminar procesos protegidos o
desactivar callbacks
de los que dependen los productos de seguridad.
Aunque existen miles de drivers legítimos vulnerables, solo un subconjunto
relativamente pequeño es explotado de manera activa en incidentes de
ransomware. Sin embargo, la disponibilidad de PoCs públicos significa que, en
la práctica, no hay límite para la cantidad de actores que pueden adoptar o
adaptar exploits para estas vulnerabilidades. Algunos atacantes reutilizan
bases de código existentes con cambios mínimos o nulos; otros no cambian la
lógica pero los reimplementan en su lenguaje de programación preferido; y
algunos incluso desarrollan EDR killers completamente nuevos (manteniendo solo
una pequeña parte del código original responsable de la explotación del
driver) que luego usan ellos mismos u ofrecen como servicio.
Los «asesinos de EDR» actúan como un componente externo especializado que se
ejecuta para desactivar los controles de seguridad antes de ejecutar otros
malware, manteniendo así estos últimos simples, estables y fáciles de
reconstruir. Eso no quiere decir que no haya habido casos en los que los
módulos de ransomware y terminación EDR se hayan fusionado en un solo binario.
El
ransomware Reynolds
es un ejemplo de ello.
La mayoría de estos aplicativos dependen de drivers legítimos pero
vulnerables para obtener privilegios elevados y lograr sus objetivos. Entre
las casi 90 herramientas detectadas por la empresa de ciberseguridad eslovaca,
más de la mitad utilizan la conocida
táctica BYOVD
simplemente porque es confiable.
«El objetivo de un ataque BYOVD es obtener privilegios en modo kernel, a
menudo llamado Anillo 0»,
explica Bitdefender.
«En este nivel, el código tiene acceso ilimitado a la memoria y al hardware
del sistema. Dado que un atacante no puede cargar un controlador malicioso
no firmado, ‘trae’ un controlador firmado por un proveedor de confianza
(como un fabricante de hardware o una versión antigua de antivirus) que
tiene una vulnerabilidad conocida».
Armados con el acceso al kernel, los actores de amenazas pueden finalizar
procesos EDR, deshabilitar herramientas de seguridad, alterar las devoluciones
de llamadas del kernel y socavar las protecciones de los endpoints. El
resultado es un abuso del modelo de confianza de los drivers de
Microsoft para evadir las defensas, aprovechando el hecho de que un
driver vulnerable es legítimo y está firmado.
Los EDR killers basados en BYOVD son desarrollados principalmente por tres
tipos de actores de amenazas:
-
Grupos cerrados de ransomware como DeadLock y Warlock que no dependen de
afiliados -
Los atacantes bifurcan y modifican el código de prueba de concepto existente
(por ejemplo, SmilingKiller y TfSysMon-Killer) -
Los ciberdelincuentes comercializan dichas herramientas en mercados
clandestinos como un servicio (por ejemplo, DemoKiller aka
Бафомет,
ABYSSWORKER, y CardSpaceKiller)
ESET dijo que también identificó herramientas basadas en scripts que
utilizan comandos administrativos integrados como taskkill,
net stop o sc delete para interferir con el funcionamiento
normal de los procesos y servicios de los productos de seguridad. También se
ha descubierto que determinadas variantes combinan secuencias de comandos con
el modo seguro de Windows.
La tercera categoría de los EDR killers son los anti-rootkits, que incluyen
utilidades legítimas como GMER, HRSword y PC Hunter, que ofrecen una interfaz
de usuario intuitiva para finalizar procesos o servicios protegidos. Una
cuarta clase emergente es un conjunto de asesinos de EDR sin conductor, como
EDRSilencer
y
EDR-Freeze, que bloquean el tráfico saliente de las soluciones EDR y hacen que los
programas entren en un estado similar al de «coma».
«Los atacantes no están poniendo mucho esfuerzo en hacer que sus cifrados
no sean detectados», dijo ESET.
«Más bien, todas las técnicas sofisticadas de evasión de defensa se han
trasladado a los componentes del modo de usuario de los asesinos EDR. Esta
tendencia es más visible en los asesinos EDR comerciales, que a menudo
incorporan capacidades maduras de antianálisis y antidetección».
Para combatir el ransomware y los asesinos de EDR, bloquear la carga de los
controladores comúnmente utilizados indebidamente es un mecanismo de defensa
necesario. Sin embargo, dado que los asesinos de EDR se ejecutan solo en la
última etapa y justo antes de iniciar el cifrador, una falla en esta etapa
significa que el actor de la amenaza puede cambiar fácilmente a otra
herramienta para realizar la misma tarea.
Los investigadores de ESET
destacaron
un ejemplo temprano de este modelo de desarrollo interno en 2024 con la banda
Embargo. En ese momento, Embargo se apoyaba en dos EDR killers: un
script personalizado de Modo Seguro, aprovechando la técnica ya
descrita anteriormente, y MS4Killer, una herramienta inspirada en el PoC
públicamente disponible
s4killer.
Los desarrolladores MS4Killer realizaron cambios significativos: añadieron
paralelismo, modificaron el flujo de código, y cifraron las strings y el driver
embebido. Desde la publicación de esa investigación, Embargo ha migrado a otro
PoC público,
evil-mhyprot-cli,
esta vez con modificaciones mínimas al código.
Un segundo ejemplo,
más reciente, es la banda DeadLock. Los investigadores han observado a DeadLock
utilizando dos EDR killers, DLKiller (también
mencionado
como loader sin nombre por Cisco Talos) y Susanoo. Curiosamente, Susanoo
proporciona una pantalla de carga y una GUI, permitiendo la interacción manual y
esperando que el atacante tenga acceso interactivo a la máquina de la víctima.
Fuente:
THN