Malicious Windows kernel drivers used in BlackCat ransomware attacks
มีการสังเกตว่ากลุ่มแรนซัมแวร์ ALPHV หรือที่รู้จักกันในนาม BlackCat wfhใช้ไดรเวอร์เคอร์เนล Windows เพื่อหลบเลี่ยงการตรวจจับโดยซอฟต์แวร์รักษาความปลอดภัยระหว่างการโจมตี ซึ่งไดรเวอร์ที่ Trend Micro เห็นนั้นเป็นเวอร์ชันปรับปรุงของมัลแวร์ที่เรียกว่า POORTRY ซึ่ง Microsoft, Mandiant, Sophos และ SentinelOne ตรวจพบในการโจมตีของแรนซัมแวร์เมื่อปลายปีที่แล้ว โดยมัลแวร์ POORTRY เป็นไดรเวอร์เคอร์เนลของ Windows ที่ใช้คีย์ที่ถูกขโมยซึ่งเป็นของบัญชีที่ถูกต้องใน Windows Hardware Developer Program ของ Microsoft ไดรเวอร์ที่เป็นอันตรายนี้ถูกใช้โดยกลุ่มแฮ็ค UNC3944 หรือที่เรียกว่า 0ktapus และ Scattered Spider เพื่อใช้ยุติการทำงานของซอฟต์แวร์ด้านความปลอดภัยบนอุปกรณ์ Windows เพื่อหลบเลี่ยงการตรวจจับ แม้ว่าซอฟต์แวร์รักษาความปลอดภัยมักจะได้รับการปกป้องจากการถูกยกเลิกหรือดัดแปลง เนื่องจากไดรเวอร์เคอร์เนลของ Windows ทำงานด้วยสิทธิพิเศษสูงสุดในระบบปฏิบัติการ จึงสามารถใช้หยุดกระบวนการเกือบทุกชนิดได้ ไดรเวอร์ใหม่ที่ใช้ในการเรียกค่าไถ่ของ BlackCat ช่วยให้พวกเขายกระดับสิทธิ์ในเครื่องที่ถูกบุกรุก และหยุดกระบวนการที่เกี่ยวข้องกับตัวแทนความปลอดภัย นอกจากนี้อาจมีการเชื่อมโยงระหว่างกลุ่มแรนซัมแวร์และกลุ่มแฮ็ค UNC3944/Scattered Spider
โดย Trend Micro เห็นในการโจมตี BlackCat ในเดือนกุมภาพันธ์ 2566 คือ ktgn.sys ซึ่งถูกปล่อยลงบนระบบไฟล์ของเหยื่อในโฟลเดอร์ %Temp% จากนั้นโหลดโดยโปรแกรมโหมดผู้ใช้ชื่อ tjr.exe นักวิเคราะห์กล่าวว่า digital signature ของ ktgn.sys ถูกเพิกถอนแล้ว อย่างไรก็ตาม ไดรเวอร์จะยังคงโหลดได้โดยไม่มีปัญหาบนระบบ Windows 64 บิตที่มีนโยบายการลงนามที่บังคับใช้ ไดรเวอร์เคอร์เนลที่เป็นอันตรายเปิดเผยอินเทอร์เฟซ IOCTL ที่อนุญาตให้ผู้ใช้ไคลเอนต์โหมด tjr.exe ออกคำสั่งที่ไดรเวอร์จะดำเนินการด้วยสิทธิ์เคอร์เนลของ Windows จากการวิเคราะห์ของเราเกี่ยวกับสิ่งที่เกิดขึ้นเมื่ออินเทอร์เฟซผู้ใช้กับไดรเวอร์นี้ สังเกตว่ามีการใช้รหัส Device Input and Output Control (IOCTL) ที่เปิดเผยเพียงรหัสเดียว ซึ่งใช้เพื่อยุติกระบวนการความปลอดภัยที่ติดตั้งบนระบบ
นักวิเคราะห์ของ Trend Micro สังเกตเห็นคำสั่งต่อไปนี้ที่สามารถใช้กับไดรเวอร์ได้ 1. เปิดใช้งานไดรเวอร์ 2. ปิดใช้งานไดรเวอร์หลังจากผู้ใช้ไคลเอนต์โหมดเสร็จสิ้นการทำงาน 3. สามารถ kill process ในโหมดผู้ใช้ใดๆ 4. ลบ specific file paths 5. บังคับให้ลบไฟล์โดยสามารถ kill process ที่กำลังทำงานอยู่โดยใช้ไฟล์นั้น 6. คัดลอกไฟล์ 7. บังคับคัดลอกไฟล์โดยใช้กลไกที่คล้ายกันในการบังคับลบ 8. ลงทะเบียนการแจ้งเตือนกระบวนการ callbacks 9. ยกเลิกการลงทะเบียนการแจ้งเตือนกระบวนการ callbacks 10. รีบูตระบบโดยเรียก API HalReturnToFirmware Trend Micro แสดงความคิดเห็นว่าคำสั่งสองคำสั่งที่ใช้สำหรับการ callbacksการแจ้งเตือนไม่ทำงาน ซึ่งบ่งชี้ว่าไดรเวอร์กำลังอยู่ในระหว่างการพัฒนาหรือยังอยู่ในขั้นตอนการทดสอบ ขอแนะนำให้ผู้ดูแลระบบใช้ IOC ที่แชร์โดย Trend Micro และเพิ่มไดรเวอร์ที่เป็นอันตรายซึ่งใช้โดยตัวแสดงแรนซัมแวร์ไปยังรายการบล็อกไดรเวอร์ Windows และผู้ดูแลระบบ Windows ควรตรวจสอบให้แน่ใจว่าเปิดใช้งาน Driver Signature Enforcement ซึ่งจะบล็อกการติดตั้งไดรเวอร์ใดๆ ที่ไม่มี digital signature ที่ถูกต้อง
https://www.bleepingcomputer.com/news/security/malicious-windows-kernel-drivers-used-in-blackcat-ransomware-attacks/