Le ransomware BlackCat exploite les pilotes signés du noyau Windows
Trend Micro a révélé des détails sur une attaque de ransomware utilisant le virus ALPHV/BlackCat. L'attaque a fait appel à une technique sophistiquée impliquant l'utilisation de pilotes de noyau Windows malveillants signés, permettant aux attaquants d'échapper à la détection et d'exécuter leur code malveillant.
Les auteurs de l'attaque ont utilisé une version améliorée d'un logiciel malveillant identifié par Mandiant, Sophos et Sentinel One en décembre 2022. Pour infiltrer les systèmes ciblés, les attaquants ont tenté d'exploiter un pilote bien connu appelé ktgn.sys, qui a été signé à l'aide de passerelles de signature Microsoft. Ils ont ainsi obtenu un accès de haut niveau au système d'exploitation, ce qui leur a permis de désactiver efficacement les opérations des produits défensifs.
Malgré la révocation de son certificat, le pilote signé ktgn.sys a continué à fonctionner sur les ordinateurs Windows 64 bits. Comme le pilote pouvait s'exécuter sans rencontrer de barrières, cela représentait un risque majeur pour les systèmes ciblés. Le pilote du noyau disposait également d'une interface IOCTL, qui permettait à l'agent utilisateur malveillant tjr.exe d'émettre des instructions avec les privilèges du noyau. Pour des raisons de sécurité, l'agent utilisateur tjr.exe s'est exécuté dans une machine virtuelle et a installé le pilote, appelé "ktgn", dans le répertoire temporaire de l'utilisateur. Le pilote a été configuré pour s'exécuter en tant que "système", ce qui garantit qu'il sera exécuté au redémarrage du système.
Le pilote malveillant utilise Safengine Protector v2.4.0.0 pour obscurcir son code, ce qui complique encore les efforts d'analyse et de détection. Cela a rendu difficiles les méthodes établies d'analyse et de détection du pilote. Selon les enquêtes de Mandiant, l'utilisation d'une version améliorée de ce pilote indique également un lien entre le gang du ransomware et les organisations UNC3944/Scattered Spider, qui avaient toutes deux utilisé un précurseur du même pilote dans leurs attaques.
Les chercheurs ont toutefois observé que le pilote était encore en phase de développement et de test, avec une mauvaise structure et des fonctionnalités clés qui n'étaient pas encore opérationnelles. Malgré ces limites, la menace a totes les chances d'obtenir un accès privilégié au système d'exploitation Windows et de contourner les plateformes de protection des points d'extrémité (EPP) et les systèmes de détection et de réponse aux points d'extrémité (EDR).
Selon l'étude, comme les solutions de sécurité fournissent des couches de protection améliorées, les attaquants se tournent généralement vers l'exploitation de la couche du noyau ou des niveaux inférieurs pour assurer l'exécution efficace de leur code malveillant. Par conséquent, les rootkits et les attaques connexes devraient continuer à être des éléments importants de la boîte à outils des acteurs de la menace dans un avenir proche.
Les sources de cet article comprennent un article de SecurityAffairs.