НАЗАД К НОВОСТЯМ
Срочные новости

Киберпреступники используют отозванный драйвер EnCase в продвинутом инструменте для отключения EDR

3 мин чтенияИсточник: BleepingComputer

Новый инструмент для отключения EDR эксплуатирует легитимный, но отозванный драйвер EnCase. Узнайте, как злоумышленники обходят защиту с помощью техники BYOVD и какие меры защиты необходимы.

Киберпреступники вооружаются отозванным форензическим драйвером в инструменте для отключения EDR

Исследователи в области кибербезопасности обнаружили новый инструмент для отключения EDR (Endpoint Detection and Response), который эксплуатирует легитимный, но отозванный подписанный драйвер ядра из форензического ПО EnCase компании Guidance Software. Этот инструмент, предназначенный для обхода обнаружения и отключения защитных механизмов, демонстрирует растущую тенденцию атак «жить за счёт земли» (LotL, Living-off-the-Land), использующих доверенные компоненты ПО.

Основные детали атаки

  • Происхождение драйвера: Инструмент злоупотребляет драйвером ядра encase.sys из EnCase, который был цифрово подписан, но отозван вендором в 2022 году после сообщений о его эксплуатации.
  • Функциональность EDR Killer: Вредоносное ПО сканирует 59 продуктов безопасности, включая EDR, антивирусы и инструменты мониторинга, и пытается завершить их процессы или отключить их службы.
  • Вектор атаки: Драйвер загружается с помощью техники BYOVD (Bring Your Own Vulnerable Driver), что позволяет обойти защиту Windows Driver Signature Enforcement (DSE).
  • Обход обнаружения: Используя подписанный (хотя и отозванный) драйвер, злоумышленники эксплуатируют доверие к легитимному ПО для выполнения операций на уровне ядра без обнаружения.

Технический анализ уязвимости

Драйвер encase.sys, изначально разработанный для низкоуровневого доступа к диску в форензических исследованиях, содержит функции, позволяющие прямое манипулирование памятью. Злоумышленники перепрофилируют эту возможность для:

  • Перечисления запущенных процессов и идентификации инструментов безопасности.
  • Завершения или приостановки процессов, связанных с EDR, антивирусами и системами логирования.
  • Модификации структур ядра для обхода обнаружения защитными программами.

Используемая здесь техника BYOVD вызывает особую озабоченность, поскольку она обходит механизмы безопасности Windows, которые обычно блокируют неподписанные драйверы. Хотя Microsoft отозвала подпись драйвера, злоумышленники всё ещё могут загружать его на системах, где отключено принудительное использование подписей драйверов или через уязвимые конфигурации загрузки.

Влияние на операции по обеспечению безопасности

Использование этого инструмента для отключения EDR создаёт значительные риски для корпоративной безопасности:

  • Отключение критически важных защит: Нейтрализуя EDR и антивирусные инструменты, злоумышленники могут запускать программы-вымогатели, похищать данные или перемещаться по сети без обнаружения.
  • Проблемы с устойчивостью: Доступ на уровне ядра позволяет злоумышленникам сохранять присутствие даже после перезагрузки системы.
  • Слепые зоны в форензике: Способность инструмента отключать системы логирования и мониторинга затрудняет обнаружение следов атаки, усложняя реагирование на инциденты.

Рекомендации по смягчению последствий и реагированию

Командам по кибербезопасности следует предпринять следующие шаги для защиты от этой угрозы:

  1. Блокировка известных вредоносных драйверов

    • Разверните списки блокировки драйверов с помощью Windows Defender Application Control (WDAC) или Microsoft Defender for Endpoint, чтобы предотвратить загрузку отозванных драйверов, таких как encase.sys.
    • Мониторьте необычные события загрузки драйверов в журналах конечных точек.

  2. Принудительное использование подписей драйверов

    • Убедитесь, что Secure Boot и Driver Signature Enforcement включены для предотвращения выполнения неподписанных или отозванных драйверов.

  3. Усиление мониторинга конечных точек

    • Используйте поведенческое обнаружение для выявления процессов, пытающихся завершить работу защитного ПО или модифицировать память ядра.
    • Разверните решения EDR с видимостью на уровне ядра для обнаружения и блокировки подозрительной активности драйверов.

  4. Готовность к реагированию на инциденты

    • Разработайте сценарии реагирования на атаки BYOVD, включая шаги по изоляции поражённых систем и восстановлению доверенных драйверов.
    • Проводите поиск угроз для выявления признаков отключённых инструментов безопасности или несанкционированных установок драйверов.

Заключение

Эта атака подчёркивает растущую сложность техник обхода EDR, особенно злоупотребление подписанными, но отозванными драйверами. Командам по кибербезопасности необходимо усилить защиту конечных точек, мониторить угрозы на уровне драйверов и быть готовыми к оперативному реагированию для снижения рисков, создаваемых такими инструментами.

Более подробную информацию можно найти в оригинальном отчёте BleepingComputer.

Поделиться

TwitterLinkedIn