19/01/23
Исследователи из ИБ-компании Sophos предупреждают , что операторы BlackByte используют BYOVD-атаку (Bring Your Own Vulnerable Driver, BYOVD) для обхода продуктов безопасности.
Согласно анализу Sophos, злоумышленники используют уязвимость в легитимном драйвере Windows «Micro-Star MSI Afterburner RTCore64.sys» для обхода ПО безопасности. Речь идёт об уязвимости повышения привилегий и выполнения произвольного кода CVE-2019-16098 (оценка CVSS: 7,8).
Драйверы «RTCore64.sys» и «RTCore32.sys» активно используются утилитой «Micro-Star MSI AfterBurner 4.6.2.15658», которая позволяет расширить контроль над видеокартами. Аутентифицированный злоумышленник может использовать CVE-2019-16098 для чтения и записи в произвольную память, в порты ввода-вывода и раздел MSR, что может привести к повышению привилегий и раскрытию информации. Эксперты пояснили, что подписанные драйверы также можно использовать для обхода политики подписи драйверов Microsoft для развертывания вредоносных программ.
Такой метод атаки называется BYOVD (Bring Your Own Vulnerable Driver, BYOVD), поясняет Securitylab. Этот метод позволяет злоумышленнику с привилегиями администратора легко обойти защиту ядра Windows. Вместо того, чтобы писать эксплойт с нуля, киберпреступник просто устанавливает сторонний драйвер с известными уязвимостями. Затем он использует эти уязвимости, чтобы получить мгновенный доступ к некоторым из наиболее защищенных областей Windows.
Компания Sophos обнаружила многочисленные сходства между последним вариантом программы-вымогателя BlackByte и реализацией обхода EDR, используемой инструментом с открытым исходным кодом EDRSandblast. Инструмент позволяет злоупотреблять уязвимыми подписанными драйверами, чтобы обойти системы безопасности и избежать обнаружения.
Исследователи безопасности также определили подпрограммы ядра для отключения ETW (Event Tracing for Windows) - механизм для отслеживания и регистрации событий, инициированных приложениями пользовательского режима и драйверами режима ядра.
