VOLVER A NOTICIAS
Última Hora

Actores de Amenazas Explotan Controlador Revocado de EnCase en Herramienta Avanzada para Neutralizar EDR

4 min de lecturaFuente: BleepingComputer

Investigadores descubren una herramienta que desactiva soluciones EDR usando un controlador legítimo pero revocado de EnCase, aprovechando técnicas BYOVD para evadir detecciones.

Actores de Amenazas Arman un Controlador Forense Revocado en Herramienta para Neutralizar EDR

Investigadores de seguridad han identificado una nueva herramienta para neutralizar EDR (Endpoint Detection and Response) que explota un controlador de kernel firmado pero revocado del software forense EnCase de Guidance Software. Esta herramienta, diseñada para evadir detecciones y desactivar protecciones de seguridad, destaca una tendencia creciente de ataques de "living-off-the-land" (LotL) que utilizan componentes de software confiables.

Detalles Clave del Ataque

  • Origen del Controlador: La herramienta abusa del controlador de kernel encase.sys de EnCase, el cual estaba firmado digitalmente pero fue revocado por el proveedor en 2022 tras informes de abuso.
  • Funcionalidad de Neutralización de EDR: El malware escanea 59 productos de seguridad, incluyendo EDR, antivirus y herramientas de monitoreo, e intenta terminar sus procesos o desactivar sus servicios.
  • Vector de Ataque: El controlador se carga mediante técnicas Bring Your Own Vulnerable Driver (BYOVD), eludiendo las protecciones de Windows Driver Signature Enforcement (DSE).
  • Evasión de Detección: Al utilizar un controlador firmado (aunque revocado), los atacantes explotan la confianza en software legítimo para ejecutar operaciones a nivel de kernel sin ser detectados.

Análisis Técnico del Exploit

El controlador encase.sys, originalmente diseñado para acceso de bajo nivel a discos en investigaciones forenses, contiene funcionalidades que permiten la manipulación directa de memoria. Los atacantes reutilizan esta capacidad para:

  • Enumerar procesos en ejecución e identificar herramientas de seguridad.
  • Terminar o suspender procesos asociados con EDR, AV y soluciones de registro.
  • Modificar estructuras del kernel para evadir la detección de software de seguridad.

La técnica BYOVD utilizada aquí es particularmente preocupante porque elude los mecanismos de seguridad de Windows que normalmente bloquean controladores sin firmar. Aunque Microsoft ha revocado la firma del controlador, los atacantes aún pueden cargarlo en sistemas donde la aplicación de firmas de controladores está deshabilitada o mediante configuraciones de arranque vulnerables.

Impacto en las Operaciones de Seguridad

El uso de esta herramienta para neutralizar EDR representa riesgos significativos para la seguridad empresarial:

  • Desactivación de Protecciones Críticas: Al neutralizar herramientas EDR y AV, los atacantes pueden ejecutar ransomware, exfiltración de datos o movimiento lateral sin ser detectados.
  • Desafíos de Persistencia: El acceso a nivel de kernel permite a los atacantes mantener la persistencia incluso después de reinicios del sistema.
  • Puntos Ciegos Forenses: La capacidad de la herramienta para desactivar herramientas de registro y monitoreo oscurece los rastros del ataque, complicando la respuesta a incidentes.

Recomendaciones de Mitigación y Respuesta

Los equipos de seguridad deben tomar las siguientes medidas para defenderse contra esta amenaza:

  1. Bloquear Controladores Maliciosos Conocidos

    • Implementar listas de bloqueo de controladores mediante Windows Defender Application Control (WDAC) o Microsoft Defender for Endpoint para evitar la carga de controladores revocados como encase.sys.
    • Monitorear eventos inusuales de carga de controladores en los registros de endpoints.

  2. Aplicar la Aplicación de Firmas de Controladores

    • Asegurar que Secure Boot y Driver Signature Enforcement estén habilitados para evitar la ejecución de controladores sin firmar o revocados.

  3. Mejorar el Monitoreo de Endpoints

    • Utilizar detección basada en comportamiento para identificar procesos que intenten terminar software de seguridad o modificar la memoria del kernel.
    • Implementar soluciones EDR con visibilidad a nivel de kernel para detectar y bloquear actividades sospechosas de controladores.

  4. Preparación para Respuesta a Incidentes

    • Desarrollar guías de respuesta para ataques BYOVD, incluyendo pasos para aislar sistemas afectados y restaurar controladores confiables.
    • Realizar caza de amenazas en busca de señales de herramientas de seguridad desactivadas o instalaciones no autorizadas de controladores.

Conclusión

Este ataque subraya la creciente sofisticación de las técnicas de evasión de EDR, particularmente el abuso de controladores firmados pero revocados. Los equipos de seguridad deben fortalecer las defensas de los endpoints, monitorear amenazas basadas en controladores y prepararse para una respuesta rápida con el fin de mitigar los riesgos que plantean este tipo de herramientas.

Para más detalles, consulte el informe original en BleepingComputer.

Compartir

TwitterLinkedIn