Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Группировка BlackByte научилась вырубать системы защиты с помощью легитимного драйвера

06/10/22

hack39-Oct-06-2022-10-16-54-70-AM

Группировка BlackByte использует новую технику, которую исследователи называют Bring Your Own Vulnerable Driver" (BYOVD), позволяющую обойти защиту путем отключения более 1000 драйверов, используемых различными системами безопасности.

В своих последних атаках группировка использовала драйвер MSI Afterburner RTCore64.sys, в котором не исправлена уязвимость CVE-2019-16098, позволяющая злоумышленникам повышать привилегии и выполнять произвольный код.

ИБ-специалисты из компании Sophos объясняют, что используемый злоумышленниками драйвер предоставляет коды управления вводом-выводом, доступные непосредственно процессам пользовательского режима. Это позволяет хакерам читать, записывать или выполнять код в памяти ядра без использования эксплойтов или шеллкодов.

Атака BlackByte отключение систем защиты выглядит так:

  • Злоумышленники определяют версию ядра, чтобы выбрать правильные смещения ядра;
  • После подбора смещений RTCore64.sys выгружается в "AppData\Roaming" и создает службу, используя одно из жестко закодированных имен;
  • Затем злоумышленники используют CVE-2019-16098 для удаления (путем обнуления) важного параметра под названием NotifyRoutine, который является адресом callback-функции обработчика событий. Хакеры обнуляют только те адреса, которые ведут к драйверам продуктов, поддерживающим функции AV/EDR. Обычно ими являются различные защитные системы.

Эксперты сообщили, что системные администраторы могут защититься от нового трюка BlackByte, просто добавив уязвимый MSI-драйвер в список блокировки.

Securitylab напоминает, метод BYOVD совсем недавно использовала группировка Lazarus. С его помощью злоумышленники похожим образом обошли системы защиты.

Темы:УгрозыSophosКиберугрозыдрайверыBring Your Own Vulnerable Driver
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...