Utvrđeno je da zlonamjerni softver Killer Ultra cilja na alate za otkrivanje krajnje tačke i odgovor (EDR) Symantec-a, Microsofta i Sentinel One u napadima na ransomware.
Killer Ultra prikuplja sve Windows evidencije događaja, u potpunosti ih briše i stiče dozvole na nivou kernela.
ARC Labs je ovaj zlonamjerni softver klasificirao kao „Killer Ultra“. Killer Ultra koristi poznati drajver Zemana da ubije EDR/AV procese, ali stručnjaci su pronašli druge karakteristike koje ukazuju na to da se može koristiti u druge svrhe osim za slabljenje odbrane.
Iskorišćavanje ranjivosti
Killer Ultra uključuje ranjivu verziju Zemana AntiLogger-a koja iskorištava CVE-2024-1853 za proizvoljan završetak procesa.
U Zemana AntiLogger v2.74.204.664 otkrivena je ranjivost povezana sa proizvoljnim završetkom procesa, identificirana kao CVE-2024-1853.
Ova ranjivost omogućava napadaču da proizvoljno prekine procese, uključujući vitalne sigurnosne procese kao što su antivirusni ili EDR softver. Koristi 0x80002048 IOCTL kod Zemana AntiLogger drajvera.
Haker pod pseudonimom “SpyBoy” dodao je ovu ranjivost alatu pod nazivom “Terminator”, koji je u maju 2023. godine oglašen kao “EDR ubica”.
Terminator koristi nesiguran drajver Zemana AntiLogger da bi iskoristio CVE-2024-1853 i onemogućio sigurnosna rješenja na sistemima koje cilja.
Na ruskim hakerskim forumima, SpyBoy je reklamirao i ponudio ovu alatku, naplaćujući 300 dolara za specijalizovane AV premosnice i 3000 dolara za sveobuhvatno rešenje.
Tehničke mogućnosti Killer Ultra Malware-a
Killer Ultra radi s visokim nivoom sofisticiranosti, koristeći dozvole na nivou kernela kako bi efikasno neutralizirao EDR alate. Primarne tehnike malvera uključuju:
- Završetak procesa: Killer Ultra može prekinuti procese povezane sa uobičajenim sigurnosnim alatima, čineći ih neučinkovitim.
- Čišćenje evidencije događaja: Brisanjem evidencije događaja, zlonamjerni softver otežava sigurnosnim timovima da uđu u trag njegovim aktivnostima.
- Eksploatacija drajvera: Zlonamjerni softver iskorištava ranjivosti u drajverima kako bi dobio dublji pristup i kontrolu nad zaraženim sistemima.
- Mehanizmi postojanosti: Koristi različite metode za održavanje postojanosti na kompromitovanim sistemima, osiguravajući da može preživjeti ponovno pokretanje i druge pokušaje da se ukloni.
- Uklanjanje indikatora: Killer Ultra je vješt u uklanjanju pokazatelja kompromisa, pomažući mu da izbjegne otkrivanje tradicionalnim sigurnosnim mjerama.
- Mogućnosti nakon eksploatacije: Zlonamjerni softver potencijalno uključuje funkcije za dalju eksploataciju nakon inicijalne kompromitacije, kao što je eksfiltracija podataka ili bočno kretanje unutar mreža.
„Killer Ultra dobija dozvole na nivou kernela i cilja alate za sigurnost krajnjih tačaka: Symantec Antivirus, Microsoft Windows Defender, SentinelOne i Microsoft Defender za krajnju tačku“, stoji u objavi Binarne odbrane.
Killer Ultra Attack ciklus
Nakon instaliranja drajvera i pokretanja usluge, Killer Ultra deaktivira sigurnosne proizvode na unaprijed definiranoj listi. Lista sigurnosnih alata definirana je imenima XOR procesa kodiranih sa 3.
Kada zlonamjerni softver otkrije podudaranje u nazivu procesa, Killer Ultra provjerava aktivne procese i završava proces s dozvolama na razini kernela.
Takođe, modifikacijom privilegija EtwEventWrite unutar NTDLL-a, Killer Ultra nastoji dodatno prevariti sigurnosne alate krajnje tačke i može spriječiti pisanje ETW događaja povezanih s Killer Ultra operacijama.
Iako je ARC Labs potvrdio sposobnost zlonamjernog softvera da izvrši ove zadatke, nejasno je da li ovo zaista radi na skrivanju akcija zlonamjernog softvera od sigurnosnih sistema krajnjih tačaka.
Kako bi spriječio ponovno pokretanje sigurnosnih programa nakon ponovnog pokretanja sistema, Killer Ultra generiše dva zakazana zadatka pod nazivom “Microsoft Security” i “Microsoft Maintenance” za izvršenje prilikom pokretanja sistema.
Oba zadatka su konfigurisana da pokreću Killer Ultra sa sledeće putanje: C:\ProgramData\Microsoft\SystemMaintainence\Maintainence.exe.
Killer Ultra ima potprogram pod nazivom StartAddress koji je naveden u glavnoj funkciji. Njegova svrha je da eliminiše indikacije kompromitovanja korišćenjem uslužnog programa “wevtutil.exe” za uklanjanje dnevnika događaja u Windows-u.
Killer Ultra poziva “wevtutil.exe” kroz “cmd.exe” da bi prošao kroz i izbrisao sve Windows evidencije događaja.
“Neaktivne funkcije unutar koda koje bi mogle omogućiti Killer Ultra-u da radi kao alat nakon eksploatacije. Iako ove mogućnosti trenutno nisu aktivne, ovi dijelovi koda bi se mogli aktivirati u budućim verzijama zlonamjernog softvera”, upozoravaju istraživači.
Ova analiza Killer Ultra-a će pomoći organizacijama da shvate sve njegove karakteristike i ponudi taktičku obavještajnu informaciju o prijetnjama koja će voditi njihove planove za otkrivanje i reagovanje.
Izvor:CybersecurityNews
