一个安全漏洞使勒索软件团伙能够有效地阻止防病毒程序在系统上正常运行。
据 Bleeping Computer 报道,BlackByte 勒索软件组织正在利用一种新发现的与 RTCore64.sys 驱动程序相关的方法来绕过 1000 多个合法驱动程序。
因此,依赖此类驱动程序的安全程序无法检测到违规行为,该技术本身被研究人员标记为“自带驱动程序”。
一旦驱动程序被黑客关闭,由于缺乏多端点检测和响应 (EDR),它们可以在雷达下运行。易受攻击的驱动程序能够通过有效证书通过检查,并且它们还具有 PC 本身的高权限。
网络安全公司 Sophos 的研究人员详细介绍了勒索软件团伙所针对的 MSI 图形驱动程序如何提供可通过用户模式进程访问的 I/O 控制代码。但是,此元素违反了 Microsoft 关于内核内存访问的安全准则。
由于该漏洞,威胁参与者可以在系统内核内存中自由读取、写入或执行代码。
Sophos 表示,BlackByte 自然热衷于避免被检测到,以免研究人员分析其黑客行为——该公司指出攻击者会寻找系统上运行的任何调试器然后退出。
此外,该组织的恶意软件会扫描系统以查找连接到 Avast、Sandboxie、Windows DbgHelp 库和 Comodo Internet Security 的任何潜在挂钩 DLL。如果搜索找到任何内容,BlackByte 将禁用其功能。
由于威胁参与者使用的技术的复杂性,Sophos 警告说,他们将继续利用合法驱动程序来绕过安全产品。此前,朝鲜黑客组织 Lazarus 使用了“自带驱动程序”方法,其中涉及戴尔硬件驱动程序。
Bleeping Computer 强调了系统管理员如何通过将目标 MSI 驱动程序 (RTCore64.sys) 放入活动阻止列表来保护他们的 PC。
BlackByte 的勒索软件活动于 2021 年首次曝光,FBI 强调黑客组织是对政府进行某些网络攻击的幕后黑手。