BlackCat勒索軟體利用簽名的Windows內核驅動程式

趨勢科技披露了有關利用 ALPHV/BlackCat 病毒的勒索軟體攻擊的詳細資訊。該攻擊採用了一種複雜的技術，涉及使用簽名的惡意Windows內核驅動程式，使攻擊者能夠逃避檢測並執行其惡意代碼。

攻擊背後的攻擊者使用了 Mandiant、Sophos 和 Sentinel One 之前在 2022 年 12 月發現的升級版惡意軟體。為了滲透目標系統，攻擊者試圖利用一個名為 ktgn.sys 的知名驅動程式，該驅動程式已使用 Microsoft 簽名網關進行簽名。這為他們提供了對操作系統的高級訪問，使他們能夠有效地禁用防禦性產品操作。

儘管證書被吊銷，但簽名的 ktgn.sys 驅動程式繼續在 64 位 Windows 計算機上運行。由於驅動程式可以在不遇到任何障礙的情況下執行，這給目標系統帶來了重大風險。內核驅動程式還具有IOCTL介面，該介面允許惡意 tjr.exe使用者代理以內核許可權發出指令。為了安全起見，tjr.exe 使用者代理在虛擬機中運行，並將名為“ktgn”的驅動程式安裝到使用者的臨時目錄中。驅動程式設置為以「系統」運行，確保在系統重新啟動時執行。

惡意驅動程式使用Safengine保護程式 v2.4.0.0對其代碼進行混淆，使分析和檢測工作進一步複雜化。這使得分析和檢測駕駛員的既定方法變得困難。根據Mandiant的調查，使用該驅動程式的升級版本也表明勒索軟體團夥與UNC3944 / Scattered Spider組織之間存在聯繫，這兩個組織之前都在攻擊中使用了同一驅動程式的前身。

然而，研究人員觀察到，該驅動程式仍處於開發和測試階段，結構不良，關鍵功能尚未運行。儘管存在這些限制，但手提袋的威脅仍在繼續，可以獲得對Windows操作系統的高特權訪問許可權，並繞過端點保護平臺 （EPP） 和端點檢測和回應 （EDR） 系統。

根據這項研究，由於安全解決方案提供了改進的保護層，攻擊者通常會利用內核層或更低級別來確保其惡意代碼的有效執行。因此，預計在不久的將來，rootkit 和相關攻擊將繼續成為威脅參與者工具包的重要組成部分。

這篇文章的來源包括 《安全事務》上的一篇文章。

總結

文章名稱

BlackCat勒索軟體利用簽名的Windows內核驅動程式

描述

趨勢科技發現了一種勒索軟體攻擊，該攻擊利用了ALPHV / BlackCat病毒，並使用已簽名的惡格Windows仁仁驅動程序。

作者

奧班拉·奧佩耶米

發行者名稱

燕尾服護理

發行者徽標