Группировка BlackByte научилась вырубать системы защиты с помощью легитимного драйвера

Группировка BlackByte научилась вырубать системы защиты с помощью легитимного драйвера

Новый метод атаки под названием “Bring Your Own Vulnerable Driver” набирает обороты.

Группировка BlackByte использует новую технику, которую исследователи называют Bring Your Own Vulnerable Driver" (BYOVD), позволяющую обойти защиту путем отключения более 1000 драйверов, используемых различными системами безопасности. В своих последних атаках группировка использовала драйвер MSI Afterburner RTCore64.sys, в котором не исправлена уязвимость CVE-2019-16098, позволяющая злоумышленникам повышать привилегии и выполнять произвольный код.

ИБ-специалисты из компании Sophos объясняют , что используемый злоумышленниками драйвер предоставляет коды управления вводом-выводом, доступные непосредственно процессам пользовательского режима. Это позволяет хакерам читать, записывать или выполнять код в памяти ядра без использования эксплойтов или шеллкодов.

Атака BlackByte отключение систем защиты выглядит так:

  • Злоумышленники определяют версию ядра, чтобы выбрать правильные смещения ядра;


  • После подбора смещений RTCore64.sys выгружается в "AppData\Roaming" и создает службу, используя одно из жестко закодированных имен;


  • Затем злоумышленники используют CVE-2019-16098 для удаления (путем обнуления) важного параметра под названием NotifyRoutine, который является адресом callback-функции обработчика событий. Хакеры обнуляют только те адреса, которые ведут к драйверам продуктов, поддерживающим функции AV/EDR. Обычно ими являются различные защитные системы.

Эксперты сообщили, что системные администраторы могут защититься от нового трюка BlackByte, просто добавив уязвимый MSI-драйвер в список блокировки.

Напомним, метод BYOVD совсем недавно использовала группировка Lazarus. С его помощью злоумышленники похожим образом обошли системы защиты.

Красная или синяя таблетка?

В Матрице безопасности выбор очевиден

Выберите реальность — подпишитесь