Primijećeno je da MEDUSA ransomware operacija koristi sofisticirani maliciozni drajver pod nazivom ABYSSWORKER da onemogući sisteme za otkrivanje i odgovor krajnje tačke (EDR).
Ova opasna sposobnost omogućava ransomware-u da radi neotkriven, značajno povećavajući prijetnju sigurnosnoj infrastrukturi organizacije.
ABYSSWORKER drajver je raspoređen zajedno sa HEARTCRYPT-om za učitavanje kao dio lanca napada MEDUSA ransomware-a.
Analitičari Elastic Security Labs-a su primijetili da je ovaj drajver posebno dizajniran da cilja i utiša različite EDR dobavljače, efikasno uklanjajući kritični sloj odbrane od napada ransomware-a.
Jedan posebno zabrinjavajući aspekt upravljačkog programa ABYSSWORKER je taj što je potpisan pomoću opozvanih certifikata kineskih dobavljača, što mu pomaže da zaobiđe sigurnosne kontrole koje provjeravaju potpise drajvera.
Ovi certifikati uključuju otiske prstiju kompanija kao što su “Foshan Gaoming Kedeyu Insulation Materials Co., Ltd” i “Fuzhou Dingxin Trade Co., Ltd”, između ostalih.
Maliciozni softver se maskira kao legitimni CrowdStrike Falcon drajver, koristeći nazive kompanija, opise datoteka i druge metapodatke kako bi izgledao autentično.
Prema analizi, PE zaglavlje vozača pokazuje svojstva poput “CrowdStrike, Inc.” kao naziv kompanije i “CrowdStrike Falcon Sensor Driver” kao opis datoteke, stvarajući uvjerljivu masku.
Kada se implementira, ABYSSWORKER uspostavlja objekt uređaja i simboličku vezu za komunikaciju sa svojim klijentskim procesom.
Drajver kreira uređaj pod nazivom “\device\czx9umpTReqbookF” i simboličku vezu “\??\fqg0Et4KlNt4s1JT” kao što je prikazano u kodu ispod:
RtlInitUnicodeString(&device_name, L"\\device\\czx9umpTReqbookF");
_result = IoCreateDevice(p_driver_object, 0, &device_name, FILE_DEVICE_UNKNOWN, 0x100u, 0, &p_device);
RtlInitUnicodeString(&sym_link, L"\\??\\fqg0Et4KlNt4s1JT");
__result = IoCreateSymbolicLink(&sym_link, &device_name);Tehničke mogućnosti
ABYSSWORKER drajver koristi sofisticirani mehanizam zaštite klijenta koji dodaje ID klijentskog procesa na zaštitnu listu i oduzima prava pristupa svim postojećim ručkama klijentskom procesu.
.webp)
Ovdje mehanizam zaštite klijenta pokazuje kako upravljački program sprječava druge procese da pristupe ili prekinu klijentu malicioznog softvera.
Da bi komunicirao sa svojim klijentom, drajver implementira različite rukovaoce DeviceIoControl sa specifičnim IO kontrolnim kodovima.
Na primjer, kod 0x222080 omogućava zlonamjerni softver nakon provjere tvrdo kodirane lozinke, dok 0x222400 uklanja povratne pozive i uređaje prema nazivu modula.
Ostale mogućnosti uključuju kopiranje datoteka (0x222184), prekid procesa (0x222144), pa čak i ponovno pokretanje mašine (0x222664).
Možda najviše zabrinjava to što upravljački program može eliminirati EDR zaštitu uklanjanjem povratnih poziva obavijesti koje koriste sigurnosni proizvodi i zamjenom glavnih funkcija drajvera lažnim implementacijama.
Također može ubiti sistemske niti koje pripadaju sigurnosnom softveru i odvojiti MiniFilter uređaje koji mogu nadgledati aktivnost sistema datoteka.
Elastic Security Labs je objavio YARA pravila za otkrivanje ove prijetnje, pružajući organizacijama sredstva za identifikaciju ove opasne komponente MEDUSA ransomware alata.
Izvor: CyberSecurityNews
