Elastic Security Labs описала ABYSSWORKER, вредоносный драйвер, используемый в цепи атак MEDUSA для обхода средств защиты от вредоносного ПО. Данный драйвер был обнаружен в финансово-мотивированной кампании, в которой использовался вымогательский троян MEDUSA вместе с драйвером ABYSSWORKER, установленным на компьютер жертвы.
Описание
ABYSSWORKER является 64-битным PE-драйвером с именем smuol.sys, имитирующим легитимный драйвер CrowdStrike Falcon. Для его упаковки обычно используется VMProtect, однако в данном случае были найдены два не защищенных образца, ссылки на которые представлены в статье.
Все образцы драйвера подписаны с помощью отозванных сертификатов, наиболее вероятно украденных у китайских компаний. Однако эти сертификаты широко используются в других образцах вредоносного ПО, поэтому они не являются специфичными для ABYSSWORKER.
Для обфускации кода драйвер использует функции, возвращающие одинаковое значение на основе непрозрачных предикатов и других производных функций. В статье представлены примеры таких функций и объясняется, что их легко идентифицировать, что делает эту схему обфускации неэффективной.
При инициализации драйвер получает указатели на несколько модулей ядра и функцию защиты клиента. Далее происходит создание устройства и символической ссылки для драйвера, а также регистрация обратных вызовов основных функций. Для защиты клиента при открытии устройства, драйвер вызывает функцию IRP_MJ_CREATE, которая добавляет идентификатор процесса в список процессов для защиты и удаляет обработчики целевого процесса из списка запущенных процессов.
Данный анализ позволяет понять, как драйвер ABYSSWORKER используется в цепи атак MEDUSA и обманывает системы обнаружения и защиты. Открытие слабостей и особенностей данного драйвера поможет повысить эффективность деятельности по предотвращению и обнаружению таких угроз.
Indicators of Compromise
SHA256
- 6a2a0f9c56ee9bf7b62e1d4e1929d13046cd78a93d8c607fe4728cc5b1e8d050
- b7703a59c39a0d2f7ef6422945aaeaaf061431af0533557246397551b8eed505
