ClickCease Le ransomware BlackCat exploite les pilotes signés du noyau Windows

Rejoignez notre populaire bulletin d'information

Rejoignez plus de 4 500 professionnels de Linux et de l'Open Source!

2 fois par mois. Pas de spam.

Le ransomware BlackCat exploite les pilotes signés du noyau Windows

par

Le 12 juin 2023 - L'équipe de relations publiques de TuxCare

Trend Micro a révélé des détails sur une attaque de ransomware utilisant le virus ALPHV/BlackCat. L'attaque a fait appel à une technique sophistiquée impliquant l'utilisation de pilotes de noyau Windows malveillants signés, permettant aux attaquants d'échapper à la détection et d'exécuter leur code malveillant.

Les auteurs de l'attaque ont utilisé une version améliorée d'un logiciel malveillant identifié par Mandiant, Sophos et Sentinel One en décembre 2022. Pour infiltrer les systèmes ciblés, les attaquants ont tenté d'exploiter un pilote bien connu appelé ktgn.sys, qui a été signé à l'aide de passerelles de signature Microsoft. Ils ont ainsi obtenu un accès de haut niveau au système d'exploitation, ce qui leur a permis de désactiver efficacement les opérations des produits défensifs.

Malgré la révocation de son certificat, le pilote signé ktgn.sys a continué à fonctionner sur les ordinateurs Windows 64 bits. Comme le pilote pouvait s'exécuter sans rencontrer de barrières, cela représentait un risque majeur pour les systèmes ciblés. Le pilote du noyau disposait également d'une interface IOCTL, qui permettait à l'agent utilisateur malveillant tjr.exe d'émettre des instructions avec les privilèges du noyau. Pour des raisons de sécurité, l'agent utilisateur tjr.exe s'est exécuté dans une machine virtuelle et a installé le pilote, appelé "ktgn", dans le répertoire temporaire de l'utilisateur. Le pilote a été configuré pour s'exécuter en tant que "système", ce qui garantit qu'il sera exécuté au redémarrage du système.

Le pilote malveillant utilise Safengine Protector v2.4.0.0 pour obscurcir son code, ce qui complique encore les efforts d'analyse et de détection. Cela a rendu difficiles les méthodes établies d'analyse et de détection du pilote. Selon les enquêtes de Mandiant, l'utilisation d'une version améliorée de ce pilote indique également un lien entre le gang du ransomware et les organisations UNC3944/Scattered Spider, qui avaient toutes deux utilisé un précurseur du même pilote dans leurs attaques.

Les chercheurs ont toutefois observé que le pilote était encore en phase de développement et de test, avec une mauvaise structure et des fonctionnalités clés qui n'étaient pas encore opérationnelles. Malgré ces limites, la menace a totes les chances d'obtenir un accès privilégié au système d'exploitation Windows et de contourner les plateformes de protection des points d'extrémité (EPP) et les systèmes de détection et de réponse aux points d'extrémité (EDR).

Selon l'étude, comme les solutions de sécurité fournissent des couches de protection améliorées, les attaquants se tournent généralement vers l'exploitation de la couche du noyau ou des niveaux inférieurs pour assurer l'exécution efficace de leur code malveillant. Par conséquent, les rootkits et les attaques connexes devraient continuer à être des éléments importants de la boîte à outils des acteurs de la menace dans un avenir proche.

Les sources de cet article comprennent un article de SecurityAffairs.

Résumé
Le ransomware BlackCat exploite les pilotes signés du noyau Windows
Nom de l'article
Le ransomware BlackCat exploite les pilotes signés du noyau Windows
Description
Trend Micro a découvert une attaque de ransomware utilisant le virus ALPHV/BlackCat à l'aide de pilotes de noyau Windows malveillants signés.
Auteur
Nom de l'éditeur
de TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Devenez rédacteur invité de TuxCare

Courrier

Aidez-nous à comprendre
le paysage Linux !

Répondez à notre enquête sur l'état de l'Open Source et vous pourrez gagner l'un des nombreux prix, dont le premier est d'une valeur de 500 $ !

Votre expertise est nécessaire pour façonner l'avenir d'Enterprise Linux !