Un nuevo análisis de los asesinos por detección y respuesta (EDR) de puntos finales ha revelado que 54 de ellos utilizan una técnica conocida como traiga su propio conductor vulnerable ( POR OVD ) al abusar de un total de 34 conductores vulnerables.

Los programas asesinos de EDR han tenido una presencia habitual en las intrusiones de ransomware, ya que ofrecen a los afiliados una forma de neutralizar el software de seguridad antes de implementar malware para cifrar archivos. Esto se hace en un intento de evitar la detección.

«Las bandas de ransomware, especialmente las que tienen programas de ransomware como servicio (RaaS), con frecuencia producen nuevas compilaciones de sus cifradores, y garantizar que cada nueva compilación no se detecte de manera confiable puede llevar mucho tiempo», dijo el investigador de ESET Jakub Souček dijo en un informe compartido con The Hacker News.

«Y lo que es más importante, los cifradores son intrínsecamente muy ruidosos (ya que, por naturaleza, necesitan modificar una gran cantidad de archivos en un período corto); hacer que este tipo de malware pase desapercibido es bastante difícil».

Los asesinos de EDR actúan como un componente externo especializado que se ejecuta para desactivar los controles de seguridad antes de ejecutar los propios casilleros, lo que hace que estos últimos sean simples, estables y fáciles de reconstruir. Esto no quiere decir que no haya habido casos en los que los módulos de terminación de EDR y de ransomware se hayan fusionado en un único binario. ransomware Reynolds es un buen ejemplo.

adsense

La mayoría de los asesinos del EDR confían en conductores legítimos pero vulnerables para obtener privilegios elevados y lograr sus objetivos. Entre las casi 90 herramientas para eliminar el EDR detectadas por la empresa de ciberseguridad eslovaca, más de la mitad de ellas utilizan la conocida táctica BYOVD simplemente porque es fiable.

«El objetivo de un Ataque BYOVD es obtener privilegios en modo kernel, a menudo denominados Ring 0», Bitdefender explica . «En este nivel, el código tiene acceso sin restricciones a la memoria y al hardware del sistema. Como los atacantes no pueden cargar un controlador malintencionado sin firmar, «traen» un controlador firmado por un proveedor acreditado (como un fabricante de hardware o una versión antigua de antivirus) que tiene una vulnerabilidad conocida».

Con el acceso al kernel, los actores de amenazas pueden terminar los procesos de EDR, deshabilitar las herramientas de seguridad, alterar las devoluciones de llamadas del kernel y socavar las protecciones de los terminales. El resultado es un abuso del modelo de confianza de los conductores de Microsoft para eludir las defensas, aprovechando el hecho de que el controlador vulnerable es legítimo y está firmado.

Los asesinos de EDR basados en BYOVD son desarrollados principalmente por tres tipos de actores de amenazas:

  • Grupos cerrados de ransomware como DeadLock y Warlock que no dependen de afiliados
  • Los atacantes bifurcan y modifican el código de prueba de concepto existente (por ejemplo, SmilingKiller y TFSysmon-Killer)
  • Los ciberdelincuentes comercializan estas herramientas en mercados clandestinos como un servicio (por ejemplo, DemoKiller, también conocido como хахомес , TRABAJADOR DEL ABISMO , y CardSpace Killer )

ESET dijo que también identificó herramientas basadas en scripts que utilizan comandos administrativos integrados como taskkill, net stop o sc delete para interferir con el funcionamiento normal de los procesos y servicios de los productos de seguridad. También se ha descubierto que algunas variantes combinan las secuencias de comandos con el modo seguro de Windows.

«Dado que el modo seguro carga solo un subconjunto mínimo del sistema operativo y, por lo general, no se incluyen las soluciones de seguridad, el malware tiene más probabilidades de deshabilitar la protección», señaló la empresa. «Al mismo tiempo, esta actividad es muy ruidosa, ya que requiere un reinicio, lo que es arriesgado y poco fiable en entornos desconocidos. Por lo tanto, solo se ve en raras ocasiones en estado salvaje».

enlaces

La tercera categoría de asesinos de EDR son los antirootkits, que incluyen utilidades legítimas como GMER, HRSword y PC Hunter, que ofrecen una interfaz de usuario intuitiva para terminar los procesos o servicios protegidos. Una cuarta clase emergente es un conjunto de asesinos de EDR sin conductor, como Silenciador EDR y DR-Freeze que bloquean el tráfico saliente de las soluciones EDR y hacen que los programas entren en estado de «coma».

«Los atacantes no se esfuerzan mucho por hacer que sus cifradores pasen desapercibidos», afirma ESET. «Más bien, todas las sofisticadas técnicas de evasión defensiva se han desplazado a los componentes de modo usuario de los asesinos de EDR. Esta tendencia es más visible en los asesinos de EDR comerciales, que suelen incorporar capacidades avanzadas de antianálisis y antidetección».

Para combatir a los asesinos del ransomware y la EDR, un mecanismo de defensa necesario es bloquear la carga de los controladores que se utilizan con frecuencia de forma indebida. Sin embargo, dado que los asesinos del EDR solo se ejecutan en la última fase y justo antes de lanzar el cifrador, un fallo en esta fase significa que el autor de la amenaza puede cambiar fácilmente a otra herramienta para realizar la misma tarea.

Esto implica que las organizaciones necesitan estrategias de detección y defensas en capas para monitorear, marcar, contener y remediar la amenaza de manera proactiva en cada etapa del ciclo de vida del ataque.

«Los asesinos de EDR perduran porque son baratos, consistentes y están desconectados del cifrador, lo que resulta perfecto tanto para los desarrolladores de cifradores, que no necesitan centrarse en hacer que sus cifradores sean indetectables, como para los afiliados, que cuentan con una potente y fácil de usar utilidad para interrumpir las defensas antes del cifrado», afirma ESET.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.