Detecte e previna ataques BYOVD do Windows

Grupos de cibercriminosos estão criando novas técnicas de ataque para comprometer sistemas, e uma delas é conhecida como BYOVD, ou “traga seu próprio driver vulnerável”. Muito eficaz, a técnica é utilizada para contornar produtos de segurança, como sistemas de detecção e resposta de endpoints (EDR) e antivírus.

Nestes ataques, hackers usam vulnerabilidades em drivers legítimos e assinados, nos quais os sistemas de segurança dependem para funcionar corretamente, para realizar uma exploração bem-sucedida do modo kernel e desabilitar as defesas do usuário. O primeiro ataque BYOVD foi realizado pelo grupo Lazarus e eles utilizaram um driver da Dell para desabilitar sete fontes de monitoramento do Windows.

Especialistas analisaram uma amostra do ransomware e descobriram que o grupo usou controle de acesso impróprio e vulnerabilidades de leitura e gravação do kernel para desabilitar o monitoramento de vários eventos, com registro, sistemas de arquivos, criação de processos entre outros. Isso impediu que soluções de segurança visualizassem a ameaça, gerando uma falsa sensação de segurança.

O que é um driver?

Drivers são softwares que trabalham como intermediários entre o sistema operacional (SO) e um dispositivo. Ele traduz as instruções do SO em ações que serão entendidas pelo dispositivo. Sem isso, um computador não poderia trabalhar com vários dispositivos conectados.

Além disso, os drivers também oferecem suporte para aplicativos de software e funções dentro do sistema operacional que não fazem parte nativamente do SO, por exemplo, um driver de sistema de arquivos, que permite acesso aos diferentes tipos de arquivos (ExFat, Ext4 etc.) que não são suportados nativamente.

Assim como qualquer software, o driver também pode ter vulnerabilidades e são exatamente essas falhas aproveitadas por hackers para obter privilégios de kernel durante o ataque BYOVD.

Como os drivers são assinados pela Microsoft, são considerados confiáveis por todas as soluções de segurança, por isso, vários APTs (Ameaça Persistente Avançada) e hackers têm adotado o BYOVD para controlar controles de segurança e se estabelecer profundamente no sistema. E como os drivers são executados com privilégios no nível do kernel, mesmo soluções baseadas em comportamento podem ser superadas.

A memória kernel

O kernel é carregado em uma região separada na memória sendo protegido contra acesso por partes não criticas do SO. O acesso às suas funcionalidades a partir de aplicativos em modo de usuário só é permitido por meio de APIs específicas, os conhecidos drivers. Esses aplicativos têm menos privilégios para controlar o sistema, por exemplo, podendo acessar uma parte da memória que está isolada e protegida do resto do sistema.

Entretanto, como o driver roda dentro do kernel, ele pode executar qualquer operação como o próprio kernel, acessando e modificando estruturas críticas de segurança cibernética, que podem levar a ataques e até a desabilitação de serviços de segurança.

Como evitar ataques BYOVD

Para evitar os ataques BYOVD, é necessário se concentrar em bloquear IoCs relevantes para vulnerabilidades de drivers e atualizar a lista que bloqueio de driver do Windows com inteligência de ameaças e IoCs recentes. Entretanto, isso protege o sistema apenas contra vulnerabilidades conhecidas. Além disso, para evitar esses ataques, o sistema operacional conta com o Driver Signature Enforcement, que permite que apenas drivers assinados pela Microsoft sejam carregados. Isso garante que, caso alguma vulnerabilidade seja detectada, a assinatura seja revogada e impedida de acessar o sistema.

A Microsoft, ainda, conta com regras de bloqueio para proteção contra drivers vulneráveis conhecidos e recomenda a ativação da integridade de código protegida por hipervisor ou HVCI para aumentar a proteção contra esses drivers.

Terminator EDR

Apesar das práticas acima surtirem efeito contra o BYODV, há algumas semanas, especialistas da Sentinel One detectaram que o grupo SpyBoy começou a promover uma ferramenta maliciosa para venda em uma plataforma hacker russa, com preços que variavam de US$ 300, para um by-pass AV específico, até U$S 3 mil, para o “all-in-one” para aniquilar EDRs. Vídeos demonstrando a ferramenta levantaram preocupações entre equipes de segurança cibernética de que suas organizações estavam em risco.

O Terminator EDR utiliza o ataque BYOVD para implantar drivers assinados e que podem ser carregados nos sistemas Windows. Como esses drivers têm vulnerabilidades, o invasor pode executar o código fornecido pelo grupo no contexto do kernel, permitindo que as defesas sejam facilmente sobrepujadas.

A técnica BYOVD é utilizada para carregar versões vulneráveis dos drivers do kernel antimalware Zemana, concedendo ao invasor a capacidade de encerrar qualquer processo do usuário, especialmente os relacionados a sistemas de detecção.

A solução SentinelOne consegue detectar a execução de amostras conhecidas do Terminator e monitora constantemente essa família de malware de perto. Entretanto, para organizações não protegidas pela plataforma, a SentinelOne aconselha a revisa os indicadores de comprometimento abaixo:

SHA1
16d7ecf09fc98798a6170e4cef2745e0bee3f5c7
3b8ddf860861cc4040dea2d2d09f80582547d105
628e63caf72c29042e162f5f7570105d2108e3c2
8dd52bfea92cbd91a042939a9cad69fdb666dfa3
8f4b79b8026da7f966d38a8ba494c113c5e3894b
a3d612a5ea3439ba72157bd96e390070bdddbbf3
a42018caa7243c54ecec35982790d96f38af90ea
adc5510dd775a4e846aba9fde84b5984d33768b4
b99a5396094b6b20cea72fbf0c0083030155f74e
c0d19461eb48b2bb66c0d2835370f491b35d24d2
c83075a691401c015566eff8b0d06c42410a9cbb
ce42d6114fef0a42aee5866c68d0a31170bb8fa7
db361424c040833576f1d7b3ee65005de0118227
dd4cd182192b43d4105786ba87f55a036ec45ef2

Como a Evolutia pode te ajudar

Ataques BYOVD estão crescendo ano a ano e à medida que as plataformas de segurança buscam proteger mais efetivamente o kernel, os invasores também buscam soluções para ignorar esses controles e utilizar o BYOVD para controlar sistemas. Exatamente por isso, é essencial analisar a estratégia de segurança cibernética e avaliar se os drivers vulneráveis estão realmente protegidos e validar os controles para evitar ataques e responder rapidamente a ameaças.

A Sentinel One fornece uma plataforma completa para descoberta, prevenção e remediação, reduzindo o tempo de remediação de aplicações de 2,5 horas para 15 minutos, simplificando a geração de relatórios e integrando a segurança com o desenvolvimento de aplicações para garantir a segurança desde o início.

A plataforma oferece:

Prevenção

A IA estática no endpoint evita ataques inline em tempo real, substituindo o antivírus legado.

Detecção

A IA comportamental reconhece ações maliciosas independentemente do vetor, detectando ataques sem arquivo, de dia zero e de nível global em tempo real.

ActiveEDR

Da mesma forma, a IA comportamental do SentinelOne alimenta o ActiveEDR, revertendo e removendo qualquer atividade maliciosa em tempo real.

Threat Hunting

A plataforma da SentinelOne conta com o menor tempo de query da indústria, e o maior tempo de retenção de dados. Além de oferecer ações avançadas como shell remoto e nativo, dumps de memória e contexto forense pré-indexado.

Entre em contato com os especialistas da Evolutia e entenda por que a plataforma de segurança da SentinelOne é fundamental para proteger seus endpoints.

A transformação começa agora.

Política de Privacidade

Onde estamos

Rua Pais Leme, 215, sala 418, Pinheiros – São Paulo
CEP: 05424-150

© Evolutia – Todos os direitos reservados.

Desenvolvido pela Intelligenzia