Атака изнутри: злоумышленники используют уязвимые драйверы для нейтрализации систем защиты перед запуском программ-вымогателей

Аналитики ESET, опираясь на данные телеметрии и расследования инцидентов, изучили почти 90 активных «киллеров» EDR. Ключевой вывод исследования заключается в том, что фокусироваться исключительно на анализе уязвимых драйверов - ошибочно. Это часто ведет к неверным атрибуциям групп, поскольку один и тот же драйвер может использоваться в совершенно не связанных между собой инструментах, а один инструмент может со временем мигрировать между разными драйверами. Реальная картина гораздо сложнее и требует понимания того, как партнеры (аффилиаты) в модели RaaS («вымогательство как услуга») выбирают, адаптируют и используют эти средства в реальных атаках.

Почему «киллеры» EDR стали золотым стандартом для вымогателей?

Ответ кроется в эффективности, простоте и предсказуемости. Разработчикам шифровальщиков выгоднее поддерживать простой и стабильный код, который легко пересобирать, нежели постоянно внедрять сложные техники уклонения от обнаружения в каждую новую сборку. Шифровальщики по своей природе «шумные», они массово изменяют файлы, что затрудняет их полное сокрытие. «Киллеры» EDR предлагают элегантное решение: они отключают систему защиты целиком, прямо перед запуском основного вредоносного кода, создавая для него чистое поле деятельности. Для аффилиатов, которые часто не обладают глубокими техническими навыками, эти инструменты стали «подключи и работай» благодаря обширным публичным proof-of-concept («доказательство концепции»). Они обеспечивают воздействие на уровне ядра системы с минимальными усилиями, что делает их непропорционально мощными.

Ландшафт технологий: от скриптов до беспрограммных методов

Самые простые «киллеры» используют базовые административные команды для остановки процессов и служб. Более изощренные злоупотребляют режимом безопасной загрузки Windows, где большинство средств защиты не загружается. Отдельную «серую зону» составляют легитимные антируткитные утилиты, такие как GMER или PC Hunter. Созданные для борьбы со скрытыми угрозами, они обладают высокими привилегиями и возможностью завершать защищенные процессы, что и эксплуатируют злоумышленники.

Доминирующей техникой, безусловно, остается BYOVD. Атакующий размещает на целевой машине легитимный, но содержащий уязвимость драйвер, устанавливает его, а затем использует эксплойт для злоупотребления его функциями с целью завершения процессов EDR или отключения их функций. При этом тысячи уязвимых драйверов существуют, но активно эксплуатируется лишь небольшая их часть, чему способствует доступность PoC. Параллельно растет класс беспрограммных «киллеров», которые не взаимодействуют с ядром напрямую. Такие инструменты, как EDRSilencer, блокируют связь агента с сервером управления, а EDR-Freeze «замораживает» процессы EDR, делая их неотзывчивыми. Их сложнее обнаружить, и они быстро набирают популярность среди групп вымогателей.

Кто стоит за разработкой? Разнообразие источников угроз

Подавляющее большинство «киллеров» EDR создаются не операторами RaaS, а самими аффилиатами или сторонними разработчиками. Закрытые группировки, не использующие модель RaaS, такие как Embargo, DeadLock или Warlock, часто разрабатывают собственные инструменты или значительно модифицируют публичные PoC под свои нужды. Группа Warlock, известная своей склонностью к экспериментам, в ходе атак может десятками развертывать различные «киллеры», методом перебора находя рабочий вариант, и использует драйверы, для которых нет известных публичных PoC.

Наиболее распространенный сценарий - модификация существующего PoC. Злоумышленники берут готовый код, например, из популярного репозитория BlackSnufkin’s BYOVD, и вносят косметические изменения: убирают отладочные сообщения, добавляют обфускацию, меняют язык программирования (например, с Rust на C++), но почти никогда не трогают ключевую логику эксплуатации драйвера.

Третье направление - коммерциализация. На теневых форумах появляются предложения о продаже «киллеров» EDR как готового продукта. Такие инструменты, как DemoKiller, AbyssKiller (основанный на рутките ABYSSWORKER) или CardSpaceKiller, упакованные коммерческими пакерами вроде VX Crypt, активно используются аффилиатами различных банд, от Qilin и Akira до Medusa. Это усложняет атрибуцию и повышает доступность сложных средств для менее квалифицированных преступников.

Роль искусственного интеллекта и выводы для защиты

Аналитики ESET отмечают, что рост количества и разнообразия пользовательских компонентов «киллеров» позволяет с высокой долей уверенности предположить использование ИИ при разработке некоторых из них. Яркий пример - инструмент, использованный группой Warlock, который содержит код с перечнем «Возможных исправлений» и механизм перебора различных устройств, что характерно для шаблонного кода, генерируемого нейросетями.

Главный практический вывод исследования для специалистов по безопасности - необходимость многоуровневой стратегии защиты. Блокировка загрузки известных уязвимых драйверов, безусловно, важный и необходимый контроль. Однако, как показали эксперты, к моменту попытки установки такого драйвера злоумышленники уже обладают высокими привилегиями и находятся в шаге от запуска шифровальщика. Если одна попытка блокируется, они пробуют другую. Более того, агрессивная блокировка легитимных драйверов может нарушить работу бизнес-критичного ПО.

Поэтому упор должен делаться на превентивное обнаружение и остановку всей цепочки атаки на более ранних этапах, до того как «киллер» EDR получит шанс исполниться. Это включает мониторинг нестандартных действий с драйверами, анализ поведения процессов, пытающихся манипулировать защищенными службами, и своевременное реагирование SOC-команд. Понимание полного ландшафта угроз, выходящего далеко за рамки анализа драйверов, позволяет выстраивать более эффективную и упреждающую оборону против современных, высокоадаптивных операций с программами-вымогателями.

SHA1

• 002573d80091f7f8167bcbda3a402b85fa915f19
• 083f604377d74c4377822ef35021e34ad7daceea
• 09735640d6634b0303755a9fd3b2bc80f932126c
• 127b50c8185986a52ae66bf6e7e67a6fd787c4fc
• 148c0cde4f2ef807aea77d7368f00f4c519f47ef
• 1e7567c0d525ad037fbbbafb643bf40541994411
• 31ce76931ca09d3918b34e3187703bc72e6d647e
• 34270b07538b7357cf10d0d5bda68f234b602f93
• 468121e7d6952799f92940677268937c4c5f92ed
• 4a57083122710d51f247367afd813a740ac180a1
• 54547180a99474b0dba289d92c4a8f3eea78b531
• 570161a420992280a8eced253edc800296b72d1c
• 5d6b9e80e12bfc595d4d26f6afb099b3cb471dd4
• 65c2388b0afb1d1f1860bb887456d8d6cd8b5645
• 67d17ca90880b448d5c3b40f69cec04d3649f170
• 6ee94f6bdc4c4ed0fff621fec36c70ff093659ed
• 711c95fead2215e9ac59e32e6e3b0d71ad5c5aa5
• 7310d6399683ba3eb2f695a2071e0e45891d743b
• 75f85caea52fe5a124fa77e2934abd3161690add
• 82ed942a52cdcf120a8919730e00ba37619661a3
• 85bc0a4f67522d6ac6be64d763e65a2945ec5028
• a3bdb419703a70157f2b7bd1dc2e4c9227dd9fe8
• a9f37104d2d89051f34e1486bc6ebff44d147e67
• b9820bf443c375577ceef44b9491e3a569a1b9e8
• ba14c43031411240a0836bedf8c8692b54698e05
• bbe0e14bc7ece8a7a1236d5a12e30476cfcef110
• bc65ed919988c8e4b8f5a1cd371745456601700a
• c85c9a09cd1cb1691da0d96772391be6ddba3555
• c881f43c7fe94a6f056a84da8e9a32fe56d8dd9c
• ce1b9909cef820e5281618a7a0099a27a70643dc
• db8bcb8693ddf715552f85b8e2628f060070f920
• f329ae0fdf1e198bea6ba787e59cb73f90714002