VOLTAR ÀS NOTÍCIAS
Última Hora

Atores de Ameaças Exploram Driver Revogado do EnCase em Ferramenta Avançada de EDR Killer

4 min de leituraFonte: BleepingComputer

Pesquisadores identificam ferramenta de 'EDR Killer' que explora driver revogado da EnCase para desativar proteções de segurança. Saiba como se proteger contra ataques BYOVD.

Atacantes Transformam Driver Forense Revogado em Ferramenta de EDR Killer

Pesquisadores de segurança identificaram uma nova ferramenta de EDR (Endpoint Detection and Response) Killer que explora um driver de kernel assinado, porém revogado, da Guidance Software’s EnCase, um software forense legítimo. A ferramenta, projetada para evadir detecções e desativar proteções de segurança, destaca uma tendência crescente de ataques living-off-the-land (LotL), que utilizam componentes de software confiáveis.

Detalhes Principais do Ataque

  • Origem do Driver: A ferramenta abusa do driver de kernel encase.sys da EnCase, que foi assinado digitalmente, mas revogado pelo fornecedor em 2022 após relatos de abuso.
  • Funcionalidade do EDR Killer: O malware faz varreduras em busca de 59 produtos de segurança, incluindo EDR, antivírus e ferramentas de monitoramento, e tenta finalizar seus processos ou desativar seus serviços.
  • Vetor de Ataque: O driver é carregado por meio de técnicas Bring Your Own Vulnerable Driver (BYOVD), burlando as proteções de Windows Driver Signature Enforcement (DSE).
  • Evasão de Detecção: Ao utilizar um driver assinado (embora revogado), os atacantes exploram a confiança em softwares legítimos para executar operações em nível de kernel sem serem detectados.

Análise Técnica do Exploit

O driver encase.sys, originalmente projetado para acesso a disco de baixo nível em investigações forenses, contém funcionalidades que permitem manipulação direta de memória. Os atacantes reaproveitam essa capacidade para:

  • Enumerar processos em execução e identificar ferramentas de segurança.
  • Finalizar ou suspender processos associados a EDR, AV e soluções de registro (logging).
  • Modificar estruturas do kernel para evadir a detecção por softwares de segurança.

A técnica BYOVD utilizada aqui é particularmente preocupante porque contorna os mecanismos de segurança do Windows, que normalmente bloqueiam drivers não assinados. Embora a Microsoft tenha revogado a assinatura do driver, os atacantes ainda podem carregá-lo em sistemas onde a aplicação da assinatura de drivers está desativada ou por meio de configurações de inicialização vulneráveis.

Impacto nas Operações de Segurança

O uso dessa ferramenta de EDR Killer representa riscos significativos para a segurança corporativa:

  • Desativação de Proteções Críticas: Ao neutralizar ferramentas de EDR e AV, os atacantes podem executar ransomware, exfiltração de dados ou movimentação lateral sem detecção.
  • Desafios de Persistência: O acesso em nível de kernel permite que os atacantes mantenham persistência mesmo após reinicializações do sistema.
  • Pontos Cegos Forenses: A capacidade da ferramenta de desativar ferramentas de registro e monitoramento obscurece rastros de ataques, complicando a resposta a incidentes.

Recomendações de Mitigação e Resposta

As equipes de segurança devem adotar as seguintes medidas para se defender contra essa ameaça:

  1. Bloquear Drivers Maliciosos Conhecidos

    • Implementar listas de bloqueio de drivers por meio do Windows Defender Application Control (WDAC) ou Microsoft Defender for Endpoint para evitar o carregamento de drivers revogados, como o encase.sys.
    • Monitorar eventos incomuns de carregamento de drivers em logs de endpoints.

  2. Aplicar a Aplicação da Assinatura de Drivers

    • Garantir que o Secure Boot e a Aplicação da Assinatura de Drivers (Driver Signature Enforcement) estejam ativados para evitar a execução de drivers não assinados ou revogados.

  3. Reforçar o Monitoramento de Endpoints

    • Utilizar deteção comportamental para identificar processos que tentem finalizar softwares de segurança ou modificar a memória do kernel.
    • Implementar soluções de EDR com visibilidade em nível de kernel para detectar e bloquear atividades suspeitas de drivers.

  4. Preparação para Resposta a Incidentes

    • Desenvolver playbooks para ataques BYOVD, incluindo etapas para isolar sistemas afetados e restaurar drivers confiáveis.
    • Realizar threat hunting em busca de sinais de ferramentas de segurança desativadas ou instalações não autorizadas de drivers.

Conclusão

Este ataque ressalta a crescente sofisticação das técnicas de evasão de EDR, especialmente o abuso de drivers assinados, porém revogados. As equipes de segurança devem reforçar as defesas de endpoints, monitorar ameaças baseadas em drivers e estar preparadas para uma resposta rápida a fim de mitigar os riscos impostos por tais ferramentas.

Para mais detalhes, consulte o relatório original da BleepingComputer.

Compartilhar

TwitterLinkedIn