За последние несколько месяцев Sophos X-Ops расследовала множество инцидентов, в которых злоумышленники пытались отключить клиентов EDR с помощью нового инструмента уклонения от защиты, который назвали AuKill. Инструмент AuKill использует устаревшую версию драйвера, используемого в версии 16.32 утилиты Process Explorer от Microsoft, для отключения процессов EDR перед развертыванием бэкдора или вымогательского ПО на целевой системе.
Этот инструмент использовался как минимум в трех инцидентах с вымогательством с начала 2023 года для саботажа защиты и развертывания вымогательского ПО: в январе и феврале злоумышленники развернули вымогательское ПО Medusa Locker после использования этого инструмента; в феврале злоумышленник использовал AuKill непосредственно перед развертыванием вымогательского ПО Lockbit.
Это не первый случай, когда мы и другие поставщики сообщают об одновременном развертывании несколькими группами угроз программного обеспечения, предназначенного для уничтожения агентов EDR, защищающих компьютеры. В декабре 2022 года компании Sophos, Microsoft, Mandiant и SentinelOne сообщили, что ряд злоумышленников использовали специально разработанные драйверы для отключения продуктов EDR.
В отличие от них, инструмент AuKill использовал легитимный, но устаревший и пригодный для эксплуатации драйвер. Этот метод обычно называют атакой "принеси свой собственный уязвимый драйвер" (BYOVD).
Метод использования драйвера Process Explorer для обхода систем EDR не нов: он был реализован в инструменте с открытым исходным кодом Backstab, впервые опубликованном в июне 2021 года. Более того, Sophos и другие поставщики систем безопасности ранее сообщали о многочисленных инцидентах, в которых либо Backstab, либо версия этого драйвера использовались в злонамеренных целях.
Например, в ноябре прошлого года Sophos X-Ops сообщила, что угрожающий субъект, работающий на группу LockBit ransomware, использовал Backstab для отключения процессов EDR на зараженной машине. Три месяца спустя компания Sentinel One опубликовала отчет об инструменте под названием MalVirt, который использует тот же драйвер Process Explorer для отключения продуктов безопасности перед развертыванием конечной полезной нагрузки на целевой машине.
В ходе анализа и поиска угроз компания Sophos собрала шесть различных вариантов вредоносной программы AuKill. Sophos обнаружили многочисленные сходства между инструментом Backstab с открытым исходным кодом и AuKill. Некоторые из этих сходств включают похожие, характерные строки отладки и почти идентичную логику потока кода для взаимодействия с драйвером.
Sophos считает, что автор AuKill использовал несколько фрагментов кода и построил свою вредоносную программу на основе основной техники, представленной в Backstab.
Indicators of Compromise
SHA256
- 08a248de098e0f9edec425ce37d13c827eaf4c54c93182f4ddf1c5b3801cf540
- 1934b4641ca540ac4fd39c37e6f8b6878ddf111b5c8eb2de26c842cb6bd7b9b8
- 52b9a7b44154bbb9d81a581a7de4902b1c661559ea87803d9cb85339805bd6ca
- 761330a5e5b16f27fef971e1f41d309ee9f5f158dd09e81b2b31cda6dafa59f0
- 79357c9248aea61fa25f0641f2eeb13bb259da645ab2e8dd696b702ed4fa976b
- 7bca36f037557b0f84412a666ef76dee8bfec1bc7754112b95f34634b8b72fed
- 83a17f3fda45b00e34934ddd0d5ed72c479170cb39097938f07a5dc6e92068c3
- a780972312e2644f29555ec9275053eebce37befe038eabaeb783443209bc921
- cdfbe62ef515546f1728189260d0bdf77167063b6dbb77f1db6ed8b61145a2bc
- d579b1853c528e54464c2607e559591ee01b0ab75bc016c14de1c38068328a81
- db0b5c434ddc7c97505a8be24431e9fbe484c2113df4ddf061aee91c35eab8b6
