En el cada vez más complejo mundo de la seguridad de Windows, a los atacantes
les resulta más difícil ejecutar código malicioso sin ser detectados. Por
ello, ahora se centran en explotar vulnerabilidades en los controladores
(componentes de software que se ejecutan en modo kernel con los permisos más
altos). Cuando estos controladores se ven comprometidos, proporcionan a los
atacantes una vía para eludir las medidas de seguridad y prepararse para
futuras infecciones.
Check Point Research informó del problema
al Centro de respuesta de seguridad de Microsoft, que posteriormente actualizó
la
lista de bloqueo de controladores vulnerables de Microsoft. Esta actualización bloqueó de manera efectiva todas las variantes del
controlador antiguo explotadas en la campaña. Tras la investigación, Microsoft
agregó la versión heredada 2.0.2 del controlador Truesight.sys a la
lista de bloqueo de controladores vulnerables.
La falla condujo a una campaña a gran escala en la que los atacantes
modificaron ligeramente el controlador heredado para cambiar su hash de
archivo, creando 2.500 variantes mientras mantenían una firma digital válida,
lo que les permitió evadir los métodos de detección estándar al finalizar los
productos de seguridad en el sistema.
Distribuido a través de campañas de phishing, el malware se implementó en las
etapas finales de los ataques. Permitió a los atacantes controlar por completo
los dispositivos de sus víctimas, otorgándoles acceso no autorizado para el
robo de datos, la vigilancia y la manipulación del sistema.
El controlador Truesight.sys y su explotación
Hace unos meses,
Check Point Research desarrolló una metodología
para buscar controladores que no se sabía que fueran vulnerables. Investigaron
cientos de controladores y encontraron lo que parecía ser un código malicioso
del controlador vulnerable conocido, Truesight.sys 3.4.0. Si bien el
controlador en sí es legítimo y se usa a menudo con fines de seguridad,
alberga una vulnerabilidad significativa en versiones anteriores a la 3.4.0.
La vulnerabilidad permite a los atacantes finalizar procesos desde el modo de
usuario, una falla crítica que se puede explotar para desactivar soluciones de
detección y respuesta de antivirus o endpoints.
Sin embargo, una investigación más profunda reveló que los atacantes usaron la
versión 2.0.2 de Truesight.sys. Si bien otras versiones, como la 3.3.0,
han sido reconocidas públicamente y detectadas para su explotación, la versión
2.0.2 logró evadir la detección durante varios meses. La razón principal de
esta evasión fue la capacidad de la versión para eludir la lista de bloqueo de
controladores vulnerables de Microsoft y otros mecanismos de detección, como
el proyecto
LOLDrivers.
LOLDrivers (Living Off The Land Drivers), es un proyecto de código abierto
que reúne controladores de Windows vulnerables, maliciosos y maliciosos
conocidos en un repositorio integral.
La versión antigua de Truesight conservaba el código vulnerable exacto, lo que
permitía a los atacantes explotar la falla y evitar la detección por parte de
las listas de bloqueo modernas, un enfoque inteligente para evadir la
detección. La lista de bloqueo de controladores vulnerables de Microsoft, que
está diseñada para evitar la carga de controladores maliciosos conocidos, no
detectó esta versión específica, lo que expuso los sistemas a ataques. Los
atacantes eligieron deliberadamente la versión 2.0.2 porque contenía código
vulnerable y eludía los métodos de detección comunes que apuntaban a versiones
más nuevas.
Un enfoque sofisticado para eludir la detección
Para evadir aún más la detección, los atacantes emplearon técnicas avanzadas
para modificar el controlador 2.0.2 y generar más de 2.500 variantes únicas.
Estas variantes se crearon haciendo cambios sutiles en partes de la
estructura del ejecutable portátil (PE) del controlador, lo que garantizaba
que cada variante tuviera un hash diferente. A pesar de estos
cambios, la firma digital del driver siguió siendo válida, lo que le daba la apariencia de ser legítima y eludir los controles de
seguridad. De esta manera, los atacantes se aseguraron de que los métodos
tradicionales de detección basados en firmas no fueran efectivos para
prevenir esta amenaza. Sin embargo, los atacantes llevaron las cosas un paso
más allá; las variantes se firmaron con certificados válidos, lo que les
permitió cargarse en los sistemas sin activar las alarmas de la mayoría de las
herramientas de seguridad.
Este nivel de sofisticación demuestra que estos atacantes tienen un profundo
conocimiento de la evasión de la detección, lo que les permite eludir las
protecciones de seguridad y persistir en los sistemas infectados durante
períodos prolongados.
Infraestructura de ataque
Los atacantes operaron a través de la infraestructura de la región de China de
una nube pública, una elección que probablemente tenía como objetivo
proporcionar a los atacantes más control y estabilidad y una posible evasión
de las fuerzas del orden o de las agencias de seguridad. Aproximadamente el
75% de las máquinas comprometidas eran organizaciones con sede en China, y el
resto de las víctimas se encontraban en otras partes de Asia, incluidos
Singapur y Taiwán.
Las muestras de la etapa inicial se disfrazan de aplicaciones conocidas, a
menudo distribuidas a través de métodos de phishing, como sitios web engañosos
y canales de phishing en aplicaciones de mensajería populares. Un ejemplo de
un sitio web engañoso que atraía visitantes ofrecía ofertas de «mejor compra»
en artículos de lujo, como se ilustra a continuación.
Además, en función de las similitudes en las muestras de la etapa inicial con
las campañas atribuidas anteriormente y los patrones de segmentación
históricos, se puede establecer que esta campaña está vinculada a
Silver Fox.
Implicaciones y recomendaciones más amplias
Ir más allá de la detección basada en firmas es cada vez más crucial para
detener amenazas difíciles de detectar. El análisis de comportamiento, el
escaneo heurístico y la verificación de la integridad del controlador pueden
ayudar a identificar la actividad sospechosa del controlador, incluso cuando
las listas de bloqueo tradicionales no marcan el controlador en sí.
Detectar el abuso de controladores vulnerables conocidos es esencial para
mitigar las amenazas conocidas. Un enfoque de seguridad que priorice la
prevención funciona para detener las amenazas de esta naturaleza al
detectarlas y disuadirlas antes de que puedan amenazar su entorno.
Para obtener un informe completo sobre la explotación del controlador heredado
Truesight.sys, lea el informe de Check Point Research
aquí.
Fuente:
Check Point Research