Kiedy wystawiasz się do ataku? Zobacz, jak działa metoda BYOVD

Według specjalistów AhnLab, na początku 2022 r. grupa hakerska Lazarus przeprowadziła ataki APT (Advanced Persistent Threat) na koreański przemysł obronny, finansowy, medialny i farmaceutyczny. AhnLab uważnie śledził te ataki i odkrył, że paraliżują one produkty odpowiedzialne za bezpieczeństwo w procesie ataku. Analiza procesu ataku ujawniła, że Grupa Lazarus wykorzystuje starą wersję procesu INITECH do przeprowadzenia wstępnego przejęcia przed pobraniem i wykonaniem złośliwego oprogramowania rootkit z serwera atakującego.

Złośliwy rootkit zidentyfikowany w ostatnim ataku blokującym produkt nadużywał podatnych modułów sterownika jądra do bezpośredniego odczytu i zapisu w obszarze pamięci jądra, przez co wszystkie systemy monitorujące wewnątrz systemu, w tym AV (Anti-Virus) były wyłączone.

Technika ta jest nazywana metodą “BYOVD (Bring Your Own Vulnerable Driver)” i cechuje się tym, że jest wykonywana głównie na podatnych modułach sterowników firm dostarczających sprzęt. W najnowszym systemie operacyjnym Windows nie można już ładować niepodpisanych sterowników, jednak napastnicy mogą wykorzystać podatne, legalnie podpisane sterowniki do łatwego kontrolowania obszaru jądra.

Podatny moduł sterownika którym posłużyło się Lazarus Group w tym przypadku, był związany ze sprzętem wyprodukowanym przez “ENE Technology”. Moduł ten wykorzystywał oryginalną formę biblioteki open source o nazwie “WinIO”, opracowaneą przez Yariva Kaplana w 1999 roku. Problemy z nim obejmują nie tylko fakt, że wykorzystuje on stary kod open source, ale także to, że warunek weryfikacji wywołania modułów jest słaby, co umożliwia odczyt i zapis do dowolnego obszaru pamięci jądra poprzez prosty proces obejścia.

W ten sposób atakujący był w stanie odczytać i zapisać dowolny obszar pamięci jądra, a dzięki możliwości modyfikacji danych we wszystkich obszarach związanych z jądrem, w tym plikach, procesach, wątkach, rejestrach i filtrach zdarzeń, wyłączył wszystkie programy monitorujące w systemie, w tym AV.

Nasze produkty wykrywają wyżej opisane zagrożenia, a w razie potrzeby wysyłają odpowiednie komunikaty o naruszeniu zabezpieczeń. Zakup któregokolwiek z naszych pakietów nie tylko podnosi bezpieczeństwo firmy, lecz także daje dostęp do pełnej wersji tego oraz innych specjalistycznych artykułów z tematyki cyberbezpieczeństwa, zamieszczonych w konsoli XDR.