Вредоносная программа BlackSanta применяет сложный модуль отключения EDR и антивирусов перед основной атакой
Обнаружен новый высокоэvasive вредоносный код, получивший название "BlackSanta", который демонстрирует тревожную эскалацию в методах злоумышленников. Он систематически отключает решения класса Endpoint Detection and Response (EDR) и антивирусные программы перед выполнением своей финальной полезной нагрузки. Это упреждающее устранение средств безопасности представляет собой критическую угрозу для защитных систем организаций, поскольку лишает их основных механизмов видимости и блокировки, предназначенных для обнаружения подобных вторжений.
Последовательность операций вредоноса указывает на глубокое понимание внутренней работы security-софта, что позволяет ему точечно находить и завершать конкретные процессы и службы, связанные с продуктами крупных вендоров EDR и AV. Эта тактика, часто называемая "living off the land" за злоупотребление легитимными функциями системы или использованием специализированных драйверов-"киллеров", существенно снижает его заметность и повышает шансы на успешную и持久ную компрометацию.
Анализ BlackSanta выявляет многоэтапную цепочку заражения, созданную для скрытности. Первоначальное проникновение, как полагают, осуществляется через фишинг или эксплуатацию уязвимостей в публично доступных приложениях. Оказавшись в системе, вредонос не сразу проявляет злонамеренные цели. Вместо этого сначала запускается выделенный модуль-убийца EDR/AV, который сканирует скомпрометированный хост на наличие известных security-продуктов.
Используя комбинацию перечисления процессов, обнаружения служб и манипуляций с драйверами, модуль пытается принудительно остановить службы, завершить процессы и даже выгрузить или повредить защитные драйверы. Это создает окно возможности, в котором уровень безопасности хоста критически снижается, фактически ослепляя центр безопасности (SOC) для последующей активности.
После успешного вывода из строя локальных защитных механизмов BlackSanta приступает к детонации своей основной полезной нагрузки. Хотя конечная цель может варьироваться от эксфильтрации данных и развертывания ransomware до установки бэкдора, среда выполнения теперь практически не защищена. Вредонос также может применять дополнительные методы обфускации и анти-анализа, такие как упаковка кода и уклонение от песочниц, чтобы затруднить расследование.
Это расчетливый подход, зеркально отражающий тактику кампаний Advanced Persistent Threat (APT) и сложных ransomware-операций, что указывает на вероятное использование BlackSanta финансово мотивированными группами или государственными киберакторами, нацеленными на предприятия высокой ценности.
