В мире кибербезопасности наблюдается тревожная эволюция: злоумышленники перестают просто скрываться от средств защиты и переходят к их целенаправленному уничтожению. Это особенно актуально для современных систем класса Endpoint Detection and Response, которые заменили традиционные антивирусы, предлагая глубокий мониторинг процессов, памяти и сетевой активности. Новый уровень противостояния демонстрирует вредоносная библиотека "msimg32.dll", используемая в атаках программы-вымогателя Qilin. Её цель - не просто обойти защиту, а полностью вывести из строя локальные EDR-решения, отключая более 300 драйверов различных вендоров. Такой подход кардинально ограничивает видимость для защитников и расчищает путь для последующего шифрования данных.
Описание
Технический анализ сложной цепочки заражения провели специалисты Cisco Talos. Исследование показало, что атака представляет собой многоэтапный процесс, где каждый шаг направлен на нейтрализацию конкретных механизмов защиты. Первая стадия - это загрузчик, который подготавливает среду для выполнения основного "убийцы EDR". Он использует продвинутые техники уклонения: подавляет сбор событий Event Tracing for Windows (ETW, механизм трассировки событий Windows) и нейтрализует пользовательские перехватчики (хуки), которые EDR-системы устанавливают в системные библиотеки для контроля вызовов. Ключевой особенностью является активное использование структурированной и векторизованной обработки исключений (SEH и VEH) для маскировки потока выполнения и сокрытия шаблонов вызова API. Это позволяет расшифровать и выполнить полезную нагрузку непосредственно в памяти, не оставляя следов на диске и не вызывая срабатывания защитных механизмов.
После активации основной компонент загружает два вспомогательных драйвера. Первый, "rwdrv.sys", является легитимным драйвером от TechPowerUp, злоупотребление которым наблюдалось и ранее. Он предоставляет злоумышленнику прямой доступ к физической памяти системы, что критически важно для последующих манипуляций на уровне ядра. Второй драйвер, "hlpdrv.sys", непосредственно отвечает за завершение процессов EDR. Однако перед его загрузкой вредонос отменяет регистрацию мониторинговых обратных вызовов (колбэков), которые EDR устанавливает для отслеживания таких событий, как создание процессов или потоков. Это гарантирует, что процесс "убийства" защиты пройдёт незаметно для самой защитной системы.
Особый интерес представляет методика обхода перехваченных системных вызовов. Вместо того чтобы модифицировать код в памяти, загрузчик использует технику, известную как "Halo’s Gate". Он сканирует библиотеку ntdll.dll в поисках "чистых" инструкций syscall в соседних функциях, определяет номер нужного системного вызова и выполняет его через найденную инструкцию. Поскольку ядро Windows идентифицирует вызов только по номеру в регистре EAX, а не по адресу вызова, этот метод позволяет игнорировать пользовательские хуки EDR. Дополнительно вредонос содержит механизмы геофильтрации, проверяя локаль системы и завершая работу, если она соответствует списку стран постсоветского пространства, что может указывать на желание злоумышленников избегать атак на определённые регионы.
Последствия успешного выполнения такой атаки крайне серьёзны. Система остаётся полностью слепой: EDR-агент прекращает сбор телеметрии, процессы защиты завершены, а обратные вызовы удалены. Это создаёт идеальные условия для развёртывания шифровальщика, кража конфиденциальных данных или установки других вредоносных модулей. Фактически, атака не просто использует уязвимость в ПО, а атакует сам фундамент современной обороны конечных точек - способность наблюдать и анализировать поведение.
Данный случай наглядно демонстрирует, что даже самые совершенные однослойные защиты уязвимы перед целевыми и достаточно сложными атаками. Специалистам по информационной безопасности необходимо двигаться в сторону глубокой эшелонированной защиты. Это подразумевает не только развёртывание EDR, но и применение решений для контроля целостности приложений, сегментацию сети, строгое управление привилегиями и постоянный мониторинг поведения на уровне всей инфраструктуры. Только многослойный подход, где прорыв одного рубежа не означает катастрофы, способен значительно усложнить жизнь киберпреступникам и повысить вероятность обнаружения атаки на ранних стадиях, до наступления необратимых последствий.
Индикаторы компрометации
MD5
- 1305e8b0f9c459d5ed85e7e474fbebb1
- 6bc8e3505d9f51368ddf323acb6abc49
- 89ee7235906f7d12737679860264feaf
- cf7cad39407d8cd93135be42b6bd258f
SHA1
- 01d00d3dd8bc8fd92dae9e04d0f076cb3158dc9c
- 82ed942a52cdcf120a8919730e00ba37619661a3
- 84e2d2084fe08262c2c378a377963a1482b35ac5
- ce1b9909cef820e5281618a7a0099a27a70643dc
SHA256
- 12fcde06ddadf1b48a61b12596e6286316fd33e850687fe4153dfd9383f0a4a0
- 16f83f056177c4ec24c7e99d01ca9d9d6713bd0497eeedb777a3ffefa99c97f0
- 7787da25451f5538766240f4a8a2846d0a589c59391e15f188aa077e8b888497
- bd1f381e5a3db22e88776b7873d4d2835e9a1ec620571d2b1da0c58f81c84a56
