Группы, стоящие за программами-вымогателями, используют сложную и высокоэффективную методику атак, чтобы обезвредить защитные механизмы на конечных точках. Согласно совместным исследованиям Cisco Talos и Trend Micro, злоумышленники, связанные с операциями программ-вымогателей Qilin и Warlock, активно применяют метод «Bring Your Own Vulnerable Driver» (BYOVD, «Принеси свой собственный уязвимый драйвер»). Эта техника предполагает загрузку цифрово подписанного, но уязвимого драйвера в ядро Windows, который затем используется для получения привилегий высокого уровня и отключения программ безопасности. Основная цель — завершить или парализовать более 300 различных процессов, служб и драйверов систем обнаружения и реагирования на конечных точках (EDR) и антивирусных решений на скомпрометированной системе, создавая свободный путь для развертывания программ-вымогателей без помех.
В случае конкретных атак Qilin, проанализированных Cisco Talos, цепочка внедрения включает развертывание вредоносной библиотеки динамической компоновки (DLL) с именем `msimg32.dll`. Этот файл стратегически размещается для загрузки легитимным, но уязвимым драйвером. Как только драйвер скомпрометирован, он предоставляет злоумышленникам доступ на уровне ядра — наивысший уровень привилегий в операционной системе Windows. С этой мощной позиции вредоносное ПО может напрямую манипулировать памятью, завершать процессы и удалять файлы, принадлежащие инструментам безопасности. Этот метод особенно опасен, поскольку он злоупотребляет доверенным, подписанным компонентом для обхода средств контроля безопасности, которые обычно блокируют неподписанные или откровенно вредоносные драйверы ядра.
Тактика BYOVD представляет собой значительную эскалацию в ландшафте угроз программ-вымогателей, выходящую за рамки простого шифрования файлов и включающую продвинутые контрфорензикные и антидетекционные меры, применяемые до атаки. Отключая инструменты EDR, которые предназначены для обнаружения такого вредоносного поведения и реагирования на него, злоумышленники фактически ослепляют группы безопасности в отношении текущего компрометации. Это позволяет им перемещаться латерально, повышать привилегии и развертывать полезную нагрузку программы-вымогателя в удобное для них время. Использование уязвимого драйвера, часто полученного от легитимных производителей оборудования, также затрудняет обнаружение, поскольку первоначальный компонент кажется доброкачественным для многих решений безопасности.
Организации должны применять многоуровневую стратегию защиты для противодействия этой угрозе. Критически важные меры включают внедрение надежного белого списка приложений для предотвращения выполнения несанкционированных драйверов, развертывание решений безопасности с защитой на уровне ядра, способных обнаруживать злоупотребление драйверами, и строгое применение политики безопасности Windows, известной как «Hypervisor-protected Code Integrity» (HVCI) или «Целостность памяти». HVCI использует безопасность на основе виртуализации для изоляции ядра и предотвращения загрузки неподписанных или ненадежных драйверов, эффективно блокируя многие атаки BYOVD. Кроме того, непрерывный мониторинг необычных событий завершения процессов и поддержание актуального инвентаря всех драйверов в среде являются важными упреждающими шагами.
Сотрудничество групп Qilin и Warlock в использовании этой техники подчеркивает тенденцию к обмену инструментами и методологиями внутри киберпреступной экосистемы. Это указывает на необходимость для защитников сосредоточиться не только на самой полезной нагрузке программы-вымогателя, но и на всей цепочке атаки, особенно на этапах первоначального доступа и повышения привилегий. Поскольку авторы программ-вымогателей продолжают превращать легитимные программные компоненты в оружие, сообществу кибербезопасности необходимо уделять приоритетное внимание укреплению систем от атак на основе драйверов и обмену разведданными об эксплуатируемых уязвимостях, чтобы нарушить эти операции до того, как критически важные данные будут зашифрованы и удержаны для выкупа.
