06/10/22
Группировка BlackByte использует новую технику, которую исследователи называют Bring Your Own Vulnerable Driver" (BYOVD), позволяющую обойти защиту путем отключения более 1000 драйверов, используемых различными системами безопасности.
В своих последних атаках группировка использовала драйвер MSI Afterburner RTCore64.sys, в котором не исправлена уязвимость CVE-2019-16098, позволяющая злоумышленникам повышать привилегии и выполнять произвольный код.
ИБ-специалисты из компании Sophos объясняют, что используемый злоумышленниками драйвер предоставляет коды управления вводом-выводом, доступные непосредственно процессам пользовательского режима. Это позволяет хакерам читать, записывать или выполнять код в памяти ядра без использования эксплойтов или шеллкодов.
Атака BlackByte отключение систем защиты выглядит так:
- Злоумышленники определяют версию ядра, чтобы выбрать правильные смещения ядра;
- После подбора смещений RTCore64.sys выгружается в "AppData\Roaming" и создает службу, используя одно из жестко закодированных имен;
- Затем злоумышленники используют CVE-2019-16098 для удаления (путем обнуления) важного параметра под названием NotifyRoutine, который является адресом callback-функции обработчика событий. Хакеры обнуляют только те адреса, которые ведут к драйверам продуктов, поддерживающим функции AV/EDR. Обычно ими являются различные защитные системы.
Эксперты сообщили, что системные администраторы могут защититься от нового трюка BlackByte, просто добавив уязвимый MSI-драйвер в список блокировки.
Securitylab напоминает, метод BYOVD совсем недавно использовала группировка Lazarus. С его помощью злоумышленники похожим образом обошли системы защиты.
