Новый анализ кибербезопасности показал, что 54 различные программы-«киллеры» систем обнаружения и реагирования на конечных точках (EDR) активно используют технику, известную как Bring Your Own Vulnerable Driver (BYOVD, «принеси свой уязвимый драйвер»). Эти вредоносные инструменты коллективно используют пул из 34 различных цифрово подписанных, но уязвимых драйверов для отключения защитного программного обеспечения. «Киллеры» EDR стали неотъемлемой частью цепочек атак программ-вымогателей, предоставляя злоумышленникам, особенно партнерам операций «ransomware-as-a-service» (RaaS), метод нейтрализации защитных мер перед развертыванием шифрующих полезных нагрузок. Это упреждающее отключение является критической тактикой уклонения, позволяющей последующему шумному и разрушительному процессу шифрования вымогателя продолжиться незамеченным.
Операционная логика использования отдельных «киллеров» EDR основана на эффективности и специализации. Как отметил исследователь ESET Якуб Соучек, шифровальщики вымогателей по своей природе «шумные» из-за необходимости быстрого изменения множества файлов, что затрудняет их сокрытие. Переложив функцию отключения защиты на выделенный внешний компонент, операторы программ-вымогателей могут сделать свое основное шифрующее ядро проще, стабильнее и легче для пересборки под новые кампании. Хотя некоторые семейства вымогателей, такие как Reynolds, интегрировали возможности уничтожения EDR непосредственно в свой бинарный файл, модульный подход остается преобладающим. Анализ ESET показывает, что из почти 90 идентифицированных инструментов-«киллеров» EDR более половины — 54 — полагаются на метод BYOVD из-за его проверенной надежности и эффективности.
Техника BYOVD мощна, поскольку она использует привилегии высокого уровня системы, предоставленные подписанным драйверам режима ядра. Как объясняет Bitdefender, цель атаки — достичь неограниченных привилегий режима ядра «кольца 0». Поскольку современные системы Windows блокируют загрузку неподписанных драйверов, злоумышленники вместо этого приносят легитимный драйвер от авторитетного поставщика (например, производителя оборудования или старой версии антивируса), который содержит известный недостаток безопасности. Эксплуатируя эту уязвимость, злоумышленник может выполнять произвольный код с наивысшими привилегиями системы, что позволяет ему манипулировать процессами EDR или завершать их, отключать механизмы безопасности и, в конечном итоге, расчищать путь для развертывания программы-вымогателя.
Эта тенденция подчеркивает значительный сдвиг в ландшафте угроз, где безопасность цепочки поставок программного обеспечения — включая сторонние драйверы — имеет первостепенное значение. Тот факт, что 34 подписанных драйвера были превращены в оружие, highlights постоянную проблему: легитимные программные компоненты с уязвимостями могут стать мощными векторами атак спустя долгое время после обнаружения их недостатков. Защита от атак BYOVD требует многоуровневой стратегии, включающей строгие списки разрешений приложений для блокировки известных уязвимых драйверов, бдительное управление обновлениями для всего системного программного обеспечения и развертывание решений безопасности, способных обнаруживать и предотвращать попытки повышения привилегий на основе драйверов на уровне ядра.
