Ransomware gangs abuse Process Explorer driver to kill security software
ผู้โจมตีได้ใช้มัลแวร์เจาะระบบตัวใหม่ที่ชื่อว่า AuKill เพื่อปิดใช้งานซอฟต์แวร์ Endpoint Detection & Response (EDR) ในระบบของเป้าหมายก่อนที่จะใช้ backdoors และ ransomware ในการโจมตี Bring Your Own Vulnerable Driver (BYOVD) ในการโจมตีดังกล่าวผู้โจมตีจะทิ้ง Driver ที่ถูกต้องซึ่งลงนามด้วยใบรับรองที่ถูกต้องและสามารถทำงานด้วยสิทธิ์ Kernel บนอุปกรณ์ของเหยื่อเพื่อปิดใช้งานโซลูชันความปลอดภัยและเข้าควบคุมระบบ มัลแวร์ AuKill ถูกค้นพบครั้งแรกโดยนักวิจัยด้านความปลอดภัย Sophos X-Ops ซึ่งมัลแวร์ AuKill ได้ปล่อย Driver Windows ที่มีช่องโหว่ (procexp.sys) ถัดจาก Driver ที่ใช้โดย Process Explorer v16.32 ของ Microsoft ที่เป็นโปรแกรมที่ได้รับความนิยมซึ่งจะช่วยรวบรวมข้อมูลเกี่ยวกับ Process ของ Windows ที่ใช้งานอยู่ นอกจากนี้ผู้โจมตียังสามารถเพิ่มระดับสิทธิ์ให้กับตัวเองได้ ซึ่งในขั้นแรกจะต้องตรวจสอบว่าทำงานโดยใช้สิทธิ์ SYSTEM อยู่แล้วหรือไม่ และถ้าไม่ใช่ จะแอบอ้างเป็น Services TrustedInstaller Windows Modules Installer เพื่อยกระดับเป็น SYSTEM หลังจากนั้นมัลแวร์ AuKill จะปิดการใช้งานของซอฟต์แวร์ความปลอดภัย โดยมัลแวร์ AuKill จะเริ่มตรวจสอบและปิดการใช้งาน processes และ services ด้านความปลอดภัยต่างๆและตรวจสอบให้แน่ใจว่ายังคงปิดใช้งานอยู่โดยป้องกันไม่ให้เครื่องของเหยื่อนั้นสามารถสั่ง restart ได้ ปัจจุบันมีการตรวจพบมัลแวร์ AuKill หลายเวอร์ชัน และในบางเวอร์ชันอาจนำไปสู่การติดแรนซัมแวร์ Medusa Locker และ LockBit เนื่องจากในเดือนมกราคมและกุมภาพันธ์ที่ผ่านมา ผู้โจมตีได้ใช้แรนซัมแวร์ Medusa Locker และ LockBit หลังจากใช้มัลแวร์ AuKill ในการโจมตี ผู้โจมตีใช้มัลแวร์เจาะระบบตัวใหม่ที่ชื่อว่า AuKill เพื่อปิดใช้งานซอฟต์แวร์ Endpoint Detection & Response (EDR) ในระบบของเป้าหมายก่อนที่จะใช้ backdoors และ ransomware ในการโจมตี Bring Your Own Vulnerable Driver (BYOVD)
ในการโจมตีดังกล่าวผู้โจมตีจะทิ้ง Driver ที่ถูกต้องซึ่งลงนามด้วยใบรับรองที่ถูกต้องและสามารถทำงานด้วยสิทธิ์ Kernel บนอุปกรณ์ของเหยื่อเพื่อปิดใช้งานโซลูชันความปลอดภัยและเข้าควบคุมระบบ มัลแวร์ AuKill ถูกค้นพบครั้งแรกโดยนักวิจัยด้านความปลอดภัย Sophos X-Ops ซึ่งมัลแวร์ AuKill ได้ปล่อย Driver Windows ที่มีช่องโหว่ (procexp.sys) ถัดจาก Driver ที่ใช้โดย Process Explorer v16.32 ของ Microsoft ที่เป็นโปรแกรมที่ได้รับความนิยมซึ่งจะช่วยรวบรวมข้อมูลเกี่ยวกับ Process ของ Windows ที่ใช้งานอยู่ นอกจากนี้ผู้โจมตียังสามารถเพิ่มระดับสิทธิ์ให้กับตัวเองได้ ซึ่งในขั้นแรกจะต้องตรวจสอบว่าทำงานโดยใช้สิทธิ์ SYSTEM อยู่แล้วหรือไม่ และถ้าไม่ใช่ จะแอบอ้างเป็น Services TrustedInstaller Windows Modules Installer เพื่อยกระดับเป็น SYSTEM หลังจากนั้นมัลแวร์ AuKill จะปิดการใช้งานของซอฟต์แวร์ความปลอดภัย โดยมัลแวร์ AuKill จะเริ่มตรวจสอบและปิดการใช้งาน processes และ services ด้านความปลอดภัยต่างๆและตรวจสอบให้แน่ใจว่ายังคงปิดใช้งานอยู่โดยป้องกันไม่ให้เครื่องของเหยื่อนั้นสามารถสั่ง restart ได้ ปัจจุบันมีการตรวจพบมัลแวร์ AuKill หลายเวอร์ชัน และในบางเวอร์ชันอาจนำไปสู่การติดแรนซัมแวร์ Medusa Locker และ LockBit เนื่องจากในเดือนมกราคมและกุมภาพันธ์ที่ผ่านมา ผู้โจมตีได้ใช้แรนซัมแวร์ Medusa Locker และ LockBit หลังจากใช้มัลแวร์ AuKill ในการโจมตี ผู้โจมตีใช้มัลแวร์เจาะระบบตัวใหม่ที่ชื่อว่า AuKill เพื่อปิดใช้งานซอฟต์แวร์ Endpoint Detection & Response (EDR) ในระบบของเป้าหมายก่อนที่จะใช้ backdoors และ ransomware ในการโจมตี Bring Your Own Vulnerable Driver (BYOVD)
ในการโจมตีดังกล่าวผู้โจมตีจะทิ้ง Driver ที่ถูกต้องซึ่งลงนามด้วยใบรับรองที่ถูกต้องและสามารถทำงานด้วยสิทธิ์ Kernel บนอุปกรณ์ของเหยื่อเพื่อปิดใช้งานโซลูชันความปลอดภัยและเข้าควบคุมระบบ มัลแวร์ AuKill ถูกค้นพบครั้งแรกโดยนักวิจัยด้านความปลอดภัย Sophos X-Ops ซึ่งมัลแวร์ AuKill ได้ปล่อย Driver Windows ที่มีช่องโหว่ (procexp.sys) ถัดจาก Driver ที่ใช้โดย Process Explorer v16.32 ของ Microsoft ที่เป็นโปรแกรมที่ได้รับความนิยมซึ่งจะช่วยรวบรวมข้อมูลเกี่ยวกับ Process ของ Windows ที่ใช้งานอยู่ นอกจากนี้ผู้โจมตียังสามารถเพิ่มระดับสิทธิ์ให้กับตัวเองได้ ซึ่งในขั้นแรกจะต้องตรวจสอบว่าทำงานโดยใช้สิทธิ์ SYSTEM อยู่แล้วหรือไม่ และถ้าไม่ใช่ จะแอบอ้างเป็น Services TrustedInstaller Windows Modules Installer เพื่อยกระดับเป็น SYSTEM หลังจากนั้นมัลแวร์ AuKill จะปิดการใช้งานของซอฟต์แวร์ความปลอดภัย โดยมัลแวร์ AuKill จะเริ่มตรวจสอบและปิดการใช้งาน processes และ services ด้านความปลอดภัยต่างๆและตรวจสอบให้แน่ใจว่ายังคงปิดใช้งานอยู่โดยป้องกันไม่ให้เครื่องของเหยื่อนั้นสามารถสั่ง restart ได้ ปัจจุบันมีการตรวจพบมัลแวร์ AuKill หลายเวอร์ชัน และในบางเวอร์ชันอาจนำไปสู่การติดแรนซัมแวร์ Medusa Locker และ LockBit เนื่องจากในเดือนมกราคมและกุมภาพันธ์ที่ผ่านมา ผู้โจมตีได้ใช้แรนซัมแวร์ Medusa Locker และ LockBit หลังจากใช้มัลแวร์ AuKill ในการโจมตี
https://www.bleepingcomputer.com/news/security/ransomware-gangs-abuse-process-explorer-driver-to-kill-security-software/