BYOVD loader kampány
Cisco Talos Intelligence Group jelentése szerint egy új Bring Your Own Vulnerable Driver (BYOVD) loader-technikát alkalmazó kampány során a támadók nem a megszokott malware- vagy phishing-eszközökre hagyatkoztak, hanem kernel-szintű trükkhöz nyúltak, egy, a Windows-hoz hivatalosan aláírt, de sebezhető drivert használták fel, amelyet hamis név alatt juttattak a célgépre. Ez a driver a rendszer magas szintű jogosultságaival működik, és a sérülékenysége (CVE-2024-51324) lehetővé teszi, hogy a támadó kernelből leállítsa a biztonsági szolgáltatásokat, így az antivírusokat / EDR-megoldásokat. Ezután a támadók egy PowerShell-scriptet futtatnak, amely megkerüli a felhasználói fiók-ellenőrzést, leállítja a Windows Defender-t, a backup- és adatbázis-szolgáltatásokat, valamint törli a rendszer visszaállítási pontjait. Így a rendszer védelmi és helyreállítási mechanizmusai gyakorlatilag használhatatlanná válnak.
Ezután következik maga a DeadLock ransomware, a támadók idő-alapú, saját stream-chiffert használnak a fájlok titkosítására, elkerülve a standard kriptó API-kat — ez megnehezíti az automatizált dekódolást és az adatmentést. A titkosítás előtt az eszköz egy batch-scriptet telepít, amely biztosítja az ransom levél megjelenítését, majd elindítja a titkosítót. A fertőzött fájlok új kiterjesztést kapnak, és a rendszer sok szolgáltatás, védelmi eszköz, backup-komponens leáll.
A Talos szerint ez a kampány azért különösen veszélyes, mert a BYOVD technikával, sebezhető, de hivatalos aláírással rendelkező driverrel a támadók elkerülik a legtöbb modern védelmi rendszert, és egyszerűen meglépik a kernel szintű jogosultságokat. Ez a módszer gyors, csendes, és magas siker-arányú, egy jól konfigurált EDR / AV rendszer is tehetetlen maradhat, ha a támadó ilyen loaderrel operál.
A BYOVD-támadások ellen nem elég klasszikus malware-védelemmel, endpoint-monitorozással védekezni. Szükséges a kernel-szintű illesztőprogramok, driverek auditálása, az ismeretlen vagy nem megbízható driverek betöltésének tiltása, restriktív driver-telepítési szabályok, a rendszer-hardening, továbbá az, hogy a backup- és helyreállítási mechanizmusok ne legyenek egy gombnyomásra deaktiválhatók. Emellett, mivel a loader és a sérülékeny driver a támadás kulcsa, az olyan sebezhetőségek, mint a CVE-2024-51324, gyors javítása, patch-kezelése különösen fontos.
