Группировка BlackByte использует новую технику, которую исследователи называют Bring Your Own Vulnerable Driver" (BYOVD), позволяющую обойти защиту путем отключения более 1000 драйверов, используемых различными системами безопасности.
В своих последних атаках группировка использовала драйвер MSI Afterburner RTCore64.sys, в котором не исправлена уязвимость CVE-2019-16098, позволяющая злоумышленникам повышать привилегии и выполнять произвольный код.
ИБ-специалисты из компании Sophos объясняют, что используемый злоумышленниками драйвер предоставляет коды управления вводом-выводом, доступные непосредственно процессам пользовательского режима. Это позволяет хакерам читать, записывать или выполнять код в памяти ядра без использования эксплойтов или шеллкодов.
Атака BlackByte отключение систем защиты выглядит так:
Эксперты сообщили, что системные администраторы могут защититься от нового трюка BlackByte, просто добавив уязвимый MSI-драйвер в список блокировки.
Securitylab напоминает, метод BYOVD совсем недавно использовала группировка Lazarus. С его помощью злоумышленники похожим образом обошли системы защиты.