威脅分子如今正在使用一種名爲 AuKill 的以前未正式記錄的 " 防禦逃避工具 ",該工具旨在通過自帶易受攻擊的驅動程序(BYOVD)攻擊來禁用端點檢測和響應(EDR)軟件。
Sophos 的研究人員 Andreas Klopsch 在上周發布的一份報告中聲稱:"AuKill 工具濫用了微軟實用程序 Process Explorer 版本 16.32 所使用的過時驅動程序,在目标系統上部署後門或勒索軟件之前禁用了 EDR 進程。"
這家網絡安全公司分析的事件顯示,自 2023 年初以來,AuKill 被用于部署各個勒索軟件變種,比如 Medusa Locker 和 LockBit。到目前爲止,已經确定了六個不同的惡意軟件變種。最古老的 AuKill 樣本其編譯時間戳顯示爲 2022 年 11 月。
BYOVD 技術依賴威脅分子濫用由微軟簽名的合法但過時且可利用的驅動程序(或者使用被盜或洩露的證書) ) ,以獲得提升的特權,并關閉安全機制。
其想法是,通過使用有效的、易受影響的驅動程序,繞過一項關鍵的 Windows 保護措施:驅動程序簽名強制(DSE),該措施确保内核模式驅動程序在允許運行之前已由有效的代碼簽名機構簽名。
Klopsch 特别指出:"AuKill 工具需要管理權限才能正常工作,但它無法爲攻擊者賦予這些特權。使用 AuKill 的威脅分子在攻擊期間充分利用了現有的特權,他們通過其他手段獲得了這些特權。"
這并不是微軟簽名的 Process Explorer 驅動程序第一次淪爲攻擊武器了。2022 年 11 月,Sophos 也詳細披露了 LockBit 加盟組織使用一種名爲 Backstab 的開源工具,該工具濫用這個驅動程序的過時版本來終止受保護的反惡意軟件進程。
今年早些時候發現了一起惡意廣告活動,該活動利用同一個驅動程序作爲感染鏈的一部分,以分發一個名爲 MalVirt 的 .NET 加載程序,從而部署竊取信息的 FormBook 惡意軟件。
與此同時,AhnLab 安全應急響應中心(ASEC)透露,管理不善的 MS-SQL 服務器正淪爲一種攻擊武器,被用來安裝 Trigona 勒索軟件,該勒索軟件與另一種名爲 CryLock 的勒索軟件有關聯。
此外,Play 勒索軟件(又名 PlayCrypt)威脅分子使用定制的數據收集工具,從而枚舉被感染網絡上的所有用戶和計算機,并從卷影複制服務(VSS)複制文件。
Grixba 是一種基于 .NET 的信息竊取惡意軟件,旨在掃描機器上的安全程序、備份軟件和遠程管理工具,并以 CSV 文件的形式洩露收集到的數據,這些文件随後被壓縮成 ZIP 文件包。
這夥網絡犯罪團夥還使用了用 .NET 編寫的 VSS 複制工具(被賽門鐵克編号爲 Balloonfly),該工具利用 AlphaVSS 框架列出 VSS 快照中的文件和文件夾,并在加密之前将它們複制到目标目錄。
Play 勒索軟件臭名昭著,不僅用間歇性加密來加快這一過程,而且還并不基于勒索軟件即服務(RaaS)模式來運作。迄今爲止收集到的證據表明,Ballonfly 不僅自行開發惡意軟件,還實施了勒索軟件攻擊。
勒索軟件威脅分子使用一大批專有工具(比如 Exmatter、Exbyte 和基于 PowerShell 的腳本)更牢牢地控制其實施的攻擊活動,同時還增添了額外的複雜性,以便在被感染的環境中持續存在并逃避檢測,而 Grixba 和 VSS 複制工具正是這類最新的工具。
越來越被以牟利爲動機的團夥采用的另一種技術是,使用 Go 編程語言來開發跨平台惡意軟件,并阻礙分析和逆向工程工作。
的确,Cyble 上周的一份報告記錄了一種名爲 CrossLock 的新型 GoLang 勒索軟件,該勒索軟件采用雙重勒索技術加大受害者支付贖金的可能性,同時采取措施以規避 Windows 事件跟蹤(ETW)機制。
Cyble 表示:" 這種功能可以使惡意軟件避免被依賴事件日志的安全系統檢測出來。CrossLock 勒索軟件還會采取幾個措施來減小數據恢複的機會,同時提高攻擊的有效性。"
