В связи с сообщениями о новом сайте утечки данных, опубликованном субъектами, стоящими за вымогательским ПО BlackByte, Sophos решили еще раз взглянуть на последний вариант, написанный на языке Go.
BlackByte Ransomware
Sophos обнаружили сложную технику обхода продуктов безопасности путем использования известной уязвимости в легитимном уязвимом драйвере RTCore64.sys. Техника обхода поддерживает отключение огромного списка из более чем 1 000 драйверов, на которые полагаются продукты безопасности для обеспечения защиты. Продукты Sophos обеспечивают защиту от тактики, обсуждаемой в этой статье.
"Bring Your Own Driver" - так называется эта техника - эксплуатация целевой системы путем использования легитимного подписанного драйвера с уязвимостью. В июле 2022 года компания Trend Micro сообщила об использовании уязвимого античит-драйвера для игры Genshin Impact под названием mhyprot2.sys для уничтожения антивирусных процессов и служб с целью массового распространения вымогательского ПО. В мае 2022 года в другом отчете было показано, как вариант программы AvosLocker использовал уязвимый драйвер антируткита Avast aswarpot.sys для обхода функций безопасности.
Теперь, когда исполнители BlackByte ransomware и этой сложной техники вернулись после короткого перерыва, велики шансы, что они продолжат использовать легитимные драйверы для обхода средств защиты. Чтобы помочь отрасли активно предотвращать такие атаки.
- BlackByte вызывает API IsDebuggerPresent и CheckRemoteDebuggerPresent. Если отладчик обнаружен, выполнение завершится.
- Пытается скрыть главный поток от отладчика, вызывая NetSetInformationThreadW с недокументированным значением THREAD_INFORMATION_CLASS::ThreadHideFromDebugger, чтобы предотвратить присоединение отладчика к запущенному процессу.
- BlackByte пытается определить, установлена ли аппаратная точка останова через GetThreadContext. Хотя мы не получили полного подтверждения, мы считаем, что этот вызов API используется для обнаружения аппаратных точек останова, устанавливаемых отладчиком. Известно, что GetThreadContext используется вредоносным ПО для обнаружения таких точек останова.
- Выполняет простую проверку длины имени файла. Если длина имени превышает 10 символов, выполнение завершается.
- Аналогично, как объясняется в статье ZScaler о BlackByte, образец выполняет проверку, не внедрена ли в двоичный файл какая-либо известная DLL-библиотека-хукинг. Если обнаружена DLL из черного списка, выполнение завершается. Список соответствует списку, приведенному в статье по ссылке.
- BlackByte ransomware требует передачи seed через параметр "-s". Правильное жестко закодировано в двоичном файле в виде зашифрованной строки. Если не совпадает, выполнение будет прервано.
CVE-2019-16098
RTCore64.sys и RTCore32.sys - драйверы, используемые MSI AfterBurner 4.6.2.15658 от Micro-Star, широко распространенной утилитой для разгона видеокарт, которая предоставляет расширенный контроль над графическими картами в системе. CVE-2019-16098 позволяет авторизованному пользователю читать и записывать в произвольную память, что может быть использовано для повышения привилегий, выполнения кода под высокими привилегиями или раскрытия информации.
Коды управления вводом-выводом в RTCore64.sys напрямую доступны процессам пользовательского режима. Как указано в руководстве Microsoft по защите кодов IOCTL в драйверах, определение кодов IOCTL, которые позволяют вызывающим пользователям читать или записывать неспецифические области памяти ядра, считается опасным. Для использования уязвимости не требуется шеллкод или эксплойт - достаточно просто получить доступ к этим управляющим кодам со злым умыслом. Позже в этой статье мы расскажем, как BlackByte использует эту уязвимость для отключения продуктов безопасности.
BlackByte Ransomware IOCs
Indicators of Compromise
SHA256
- 01aa278b07b58dc46c84bd0b1b5c8e9ee4e62ea0bf7a695862444af32e87f1fd
- 9103194d32a15ea9e8ede1c81960a5ba5d21213de55df52a6dac409f2e58bcfe