Οι εισβολείς ransomware έχουν διευρύνει την προσέγγισή τους για να νικήσουν την ασφάλεια τελικού σημείου, ξεπερνώντας κατά πολύ την τεχνική της εκμετάλλευσης ευάλωτων προγραμμάτων οδήγησης.
Για χρόνια, η μέθοδος Bring Your Own Vulnerable Driver (BYOVD) ήταν ο κύριος τρόπος με τον οποίο οι εισβολείς απενεργοποίησαν τα εργαλεία ασφαλείας πριν ξεκινήσουν τα ωφέλιμα φορτία κρυπτογράφησης αρχείων.
Σήμερα, αυτή η εικόνα έχει γίνει πολύ πιο περίπλοκη, με τους φορείς απειλών να αναπτύσσουν πλέον εργαλεία βασισμένα σε σενάρια, να κάνουν κατάχρηση νόμιμου λογισμικού anti-rootkit και να χρησιμοποιούν μεθόδους πλήρως χωρίς προγράμματα οδήγησης για να σιωπούν προϊόντα ασφαλείας πριν ξεκινήσει η κρυπτογράφηση.
Η αλλαγή αντικατοπτρίζει μια βασική επιχειρησιακή προτεραιότητα: οι θυγατρικές ransomware χρειάζονται ένα σύντομο, αξιόπιστο παράθυρο για να εκτελούν τους κρυπτογραφητές τους χωρίς να διακόπτονται.
Αντί να προσπαθούν να κάνουν τους κρυπτογραφητές αόρατους στο λογισμικό ασφαλείας – μια δύσκολη και χρονοβόρα εργασία – οι εισβολείς προτιμούν να καταστρέψουν την προστασία ασφαλείας εντελώς.
Αυτό καθιστά τα EDR killers, εργαλεία σχεδιασμένα ειδικά για την απενεργοποίηση του λογισμικού ανίχνευσης και απόκρισης τελικού σημείου, κεντρικό μέρος σχεδόν κάθε σύγχρονης επίθεσης ransomware.
Έρευνα που βασίζεται στην τηλεμετρία της ESET και τις έρευνες πραγματικών περιστατικών επιβεβαιώνει ότι αυτή η τάση επιταχύνεται τόσο σε μεγάλες όσο και σε μικρές ομάδες ransomware.
Οι αναλυτές του WeLiveSecurity εντόπισαν και εντόπισαν σχεδόν 90 δολοφόνους EDR χρησιμοποιείται ενεργά στην άγρια φύση, καλύπτοντας σχεδόν κάθε συμμορία ransomware που λειτουργεί σήμερα.
Από αυτά, τα 54 είναι εργαλεία που βασίζονται στο BYOVD και κάνουν κατάχρηση 35 ευάλωτων προγραμμάτων οδήγησης, ενώ τα 7 βασίζονται σε σενάρια και τα 15 κάνουν κατάχρηση νόμιμου anti-rootkit ή δωρεάν διαθέσιμου λογισμικού.
Η έρευνα καθιστά σαφές ότι το οικοσύστημα EDR killer έχει ωριμάσει σε μια δομημένη, εμπορικά καθοδηγούμενη αγορά, όπου αυτά τα εργαλεία αγοράζονται, πωλούνται και προσαρμόζονται για να στοχεύουν σε ένα ευρύ φάσμα προμηθευτών ασφάλειας.
Ο αντίκτυπος αυτής της αλλαγής είναι σοβαρός. Τα θύματα αντιμετωπίζουν επιθέσεις όπου τα εργαλεία ασφαλείας αχρηστεύονται πριν εκτελεστεί ποτέ ο κρυπτογραφητής.
Ομάδες όπως Akira, Medusa, Qilin, RansomHouse και DragonForce έχουν όλες παρατηρηθεί χρησιμοποιώντας εμπορικές Οι δολοφόνοι EDR προέρχονται από υπόγειες αγορές.
Ένα εργαλείο που πωλείται στο εμπόριο, το AbyssKiller, το οποίο συνδυάζει το rootkit ABYSSWORKER με έναν φορτωτή γεμάτο HeartCrypt, έχει γίνει ένας από τους πιο συχνά εμφανιζόμενους εμπορικούς δολοφόνους EDR στη φύση.
Ένα άλλο, το CardSpaceKiller, εμφανίζεται με συνέπεια σε επιθέσεις Akira, Medusa και MedusaLocker, συσκευασμένο χρησιμοποιώντας το VX Crypt Packer-as-a-service.
Detection Evasion: Where the Real Sophistication Lives
Σε αντίθεση με τους κρυπτογραφητές, οι οποίοι επικεντρώνονται αποκλειστικά στην κρυπτογράφηση αρχείων, οι δολοφόνοι EDR έχουν γίνει το κύριο όχημα για την αμυντική διαφυγή σε επιχειρήσεις ransomware.
Οι επιτιθέμενοι επενδύουν την τεχνική τους πολυπλοκότητα εδώ και όχι στους ίδιους τους κρυπτογραφητές, επειδή η πλήρης διακοπή του λογισμικού ασφαλείας είναι απλούστερη και πιο αξιόπιστη από το να κάνει ένα ωφέλιμο φορτίο μη ανιχνεύσιμο.
Αυτός ο σκόπιμος καταμερισμός της εργασίας έχει δημιουργήσει μια κατηγορία εργαλείων που είναι ταυτόχρονα ισχυρά και προσβάσιμα, ακόμη και σε επιτιθέμενους με περιορισμένες τεχνικές δεξιότητες.
Μια κοινή τεχνική περιλαμβάνει τον διαχωρισμό του εργαλείου δολοφονίας από τον οδηγό που καταχράται και την παράδοσή τους ανεξάρτητα. Η θυγατρική εγκαθιστά πρώτα το πρόγραμμα οδήγησης με μη αυτόματο τρόπο, επιβεβαιώνοντας ότι φορτώθηκε με επιτυχία, πριν εκτελέσει το EDR killer.
.webp)
Τα εμπορικά εργαλεία συσκευάζονται χρησιμοποιώντας προϊόντα όπως το VX Crypt και το HeartCrypt, τα οποία προσθέτουν συσκότιση σε επίπεδο δομής, συμπεριφορά κατά της εικονικής μηχανής και συνεχή επανασυσκευασία για να νικηθεί η στατική ανίχνευση.
Τα προστατευτικά κώδικα όπως το VMProtect και το Themida χρησιμοποιούνται επίσης τακτικά. Ορισμένα εργαλεία προχωρούν περαιτέρω αποθηκεύοντας κρυπτογραφημένα προγράμματα οδήγησης ή shellcode σε ξεχωριστά αρχεία στο δίσκο, κρατώντας κρίσιμα στοιχεία μακριά από τους αμυντικούς.
Το SmilingKiller, που παρατηρήθηκε κατά τις εισβολές LockBit και Dire Wolf, χρησιμοποιεί ισοπέδωση ροής ελέγχου για να κάνει τον κώδικά του δύσκολο να ακολουθηθεί.
.webp.png)
Το CardSpaceKiller βασίζεται στην ανάλυση call-by-hash και συσκότιση συμβολοσειρών, ενώ το EDRKillShifter, που αναπτύχθηκε από την πλέον ανενεργή ομάδα RansomHub, προστατεύει με κωδικό πρόσβασης βασικά τμήματα του κώδικά του.
.webp.jpeg)
Η συμμορία Warlock αναπτύσσει δεκάδες δολοφόνους EDR ανά εισβολή μέχρι να λειτουργήσει κάποιος, με πρόσφατα δείγματα να δείχνουν μοτίβα συμβατά με τη δημιουργία κώδικα με τη βοήθεια AI.
Οι οργανισμοί θα πρέπει να αντιμετωπίζουν το μπλοκάρισμα οδηγών ως ένα απαραίτητο αλλά ανεπαρκές πρώτο βήμα. Οι ομάδες ασφαλείας θα πρέπει να παρακολουθούν για ύποπτα συμβάντα εγκατάστασης προγραμμάτων οδήγησης και να χρησιμοποιούν διατηρούμενες λίστες αποκλεισμού για την επισήμανση γνωστών ευάλωτων προγραμμάτων οδήγησης.
Μια πολυεπίπεδη στρατηγική ανίχνευσης μέσω ενός διαχειριζόμενου παρόχου ανίχνευσης και απόκρισης ή μιας εσωτερικής ομάδας SOC είναι κρίσιμη, καθώς οι εισβολείς προσαρμόζονται σε πραγματικό χρόνο.
Περιορισμός πρόσβασης και συντήρηση υψηλών προνομίων Η τμηματοποίηση δικτύου μειώνει τις ανάγκες των εισβολέων για την ανάπτυξη αυτών των εργαλείων. Η ισχυρή τηλεμετρία τελικού σημείου διασφαλίζει ότι οι υπερασπιστές διατηρούν την ορατότητα ακόμη και όταν διαταράσσεται ένα επίπεδο προστασίας.
