Novedades

RansomHub lanza un nuevo binario BYOVD que desactiva soluciones EDR. Después de cargar un controlador vulnerable, la utilidad usa un exploit público para lograr escalamiento de privilegios y la capacidad de desactivar el software de protección de endpoints.

La banda de ransomware RansomHub ha presentado una nueva utilidad en sus ataques, diseñada para terminar los procesos de detección y respuesta de endpoints (EDR) antes de que puedan detectar cualquier actividad maliciosa.

Apropiadamente llamado "EDRKillShifter", el binario está diseñado para cargar un controlador legítimo pero vulnerable y sin parchear, que luego puede ser explotado para escalar privilegios utilizando exploits de prueba de concepto disponibles en GitHub, según el equipo de Sophos X-Ops.

"Hay tres pasos en el proceso de ejecución de este cargador", explicaron los investigadores de Sophos en un análisis esta semana. "El atacante debe ejecutar EDRKillShifter con una línea de comandos que incluya una cadena de contraseña. Cuando se ejecuta con la contraseña correcta, el ejecutable descifra un recurso incrustado llamado BIN y lo ejecuta en la memoria."

Agregaron: "El código BIN descomprime y ejecuta la carga final. Esta carga final, escrita en el lenguaje de programación Go, instala y explota uno de una variedad de controladores legítimos vulnerables para obtener privilegios suficientes para desactivar la protección de una herramienta EDR."

Los hallazgos surgen en un momento en que el malware diseñado para desactivar sistemas EDR está en aumento. Por ejemplo, AuKill, una herramienta para desactivar EDR descubierta por Sophos X-Ops el año pasado y que se vende comercialmente en la Dark Web, ha visto un aumento en su uso en el último año. Además, Terminator, que utiliza un mecanismo similar de "traer tu propio controlador" (BYOVD) como EDRKillShifter, ha ganado popularidad debido a su capacidad de ofrecer una solución "todo en uno" para evitar EDR, desactivando los motores EDR de 24 proveedores diferentes.

Protección contra ataques BYOVD

El método de ataque BYOVD no es nuevo, y desde el año pasado, Microsoft ha comenzado a descertificar controladores firmados que se sabe han sido abusados en el pasado. Pero eso no resuelve completamente el problema.

"Instalar una versión antigua y defectuosa de un controlador es una técnica de hacking bien conocida y usada desde hace mucho tiempo", escribió Roger Grimes, evangelista de defensa basada en datos en KnowBe4, en una declaración por correo electrónico. "Yo mismo la usé con gran éxito durante los 20 años que hice pruebas de penetración. Y es muy difícil defenderse contra ella."

Explicó que hacer un seguimiento de las versiones antiguas de software y luego evitar que se instalen es un desafío, pero la situación se complica aún más cuando muchos grupos de administradores/usuarios intencionalmente desean mantener instalado software antiguo por problemas de compatibilidad y operatividad. Por lo tanto, incluso un instalador de aplicaciones con esa funcionalidad de seguimiento tendría dificultades para mantenerse al tanto de un panorama en constante cambio.

"Rastrear qué versiones de software y controladores son antiguas y no deberían instalarse rápidamente se convertiría en otro problema de seguimiento de base de datos de firmas antivirus, donde los proveedores siempre estarían tratando de ponerse al día con lo último", señaló.

Con eso en mente, Sophos X-Ops recomienda que los administradores implementen una higiene sólida en los roles de seguridad de Windows para evitar este tipo de escenarios.

"Este ataque solo es posible si el atacante escala los privilegios que controla o si puede obtener derechos de administrador. La separación entre los privilegios de usuario y administrador puede ayudar a prevenir que los atacantes carguen controladores fácilmente", según el informe.