El ransomware se esconde en controladores con certificados válidos
Sophos X-Ops ha encontrado código malicioso en varios controladores firmados con certificados digitales legítimos. El nuevo informe Signed driver malware moves up the software trust chain describe la investigación, que comenzó con un intento de ataque de ransomware. Los atacantes utilizaron un controlador malicioso firmado con un certificado digital legítimo de Windows Hardware Compatibility Publisher de Microsoft. El controlador malicioso se dirigía específicamente a procesos utilizados por paquetes de software clave de detección y respuesta de puntos finales (EDR). Fue instalado por malware asociado con los actores de amenazas que rodean el Cuba Ransomware Goup - un grupo muy prolífico que atacó con éxito a más de 100 empresas en todo el mundo el año pasado. Sophos Rapid Response fue capaz de frustrar con éxito el ataque. Esta investigación desencadenó una amplia colaboración entre Sophos y Microsoft para tomar medidas y eliminar la amenaza.
Controladores maliciosos firmados con certificados robadosLos controladores pueden realizar operaciones altamente privilegiadas en los sistemas. Por ejemplo, los controladores en modo kernel pueden terminar muchos tipos de software, incluido el software de seguridad, entre otros. Controlar qué controladores pueden cargarse es una forma de proteger los ordenadores de este tipo de ataques. Windows exige que los controladores lleven una firma criptográfica -un "sello de aprobación"- antes de poder cargarlos. Sin embargo, no todos los certificados digitales utilizados para firmar controladores son igual de fiables. Algunos certificados de firma digital robados y filtrados en Internet se utilizaron posteriormente para firmar programas maliciosos; otros certificados fueron comprados y utilizados por vendedores de software PUA sin escrúpulos. La investigación de Sophos sobre un controlador malicioso utilizado para sabotear herramientas de seguridad de puntos finales durante un ataque de ransomware descubrió que los atacantes actuaron de forma concertada para pasar de certificados digitales menos fiables a otros cada vez más fiables.
Cuba, muy probablemente implicada"Estos atacantes, probablemente miembros del grupo de ransomware Cuba, saben lo que hacen y son persistentes", afirma Christopher Budd, director senior de investigación de amenazas de Sophos. "Hemos encontrado un total de diez controladores maliciosos, todos ellos variantes del descubrimiento original. Estos controladores muestran un esfuerzo concertado para ascender en fiabilidad, y el más antiguo se remonta al menos a julio. Los controladores más antiguos que hemos encontrado hasta ahora estaban firmados con certificados de empresas chinas desconocidas. Luego consiguieron firmar el controlador con un certificado de NVIDIA válido, filtrado y revocado. Ahora utilizan un certificado digital legítimo de Windows Hardware Compatibility Publisher de Microsoft, una de las entidades más fiables del ecosistema Windows. Si lo miras desde la perspectiva de la seguridad corporativa, los atacantes han recibido credenciales corporativas válidas para entrar en el edificio sin hacer preguntas y hacer lo que quieran", continúa Christopher Budd. Un examen más detallado de los ejecutables utilizados en el intento de ataque de ransomware reveló que el controlador firmado malicioso se descargó en el sistema de destino utilizando una variante del cargador BURNTCIGAR, un conocido malware perteneciente al grupo de ransomware Cuba. Una vez que el cargador ha descargado el controlador en el sistema, espera a que se inicie uno de los 186 nombres de archivo de programas diferentes utilizados habitualmente por los principales paquetes de software de seguridad de puntos finales y EDR, y luego intenta terminar estos procesos. Si tiene éxito, los atacantes pueden desplegar el ransomware.
Tendencia actual: intento de eludir todos los productos EDR actuales"En 2022, hemos observado que los atacantes de ransomware intentan cada vez más eludir los productos EDR de muchos, si no de la mayoría, de los principales proveedores", continúa Christopher Budd. "La técnica más común se conoce como 'trae tu propio controlador', que BlackByte utilizó recientemente. Se trata de que los atacantes aprovechen una vulnerabilidad existente en un controlador legítimo. Es mucho más difícil crear un controlador malicioso desde cero y hacerlo firmar por una autoridad legítima. Sin embargo, si se tiene éxito, es increíblemente eficaz, ya que el controlador puede ejecutar procesos arbitrarios sin ser cuestionado". En el caso de este controlador concreto, prácticamente todo el software EDR es vulnerable. Afortunadamente, las medidas adicionales de protección contra manipulaciones de Sophos pudieron detener el ataque del ransomware. La comunidad de seguridad debe ser consciente de esta amenaza para poder aplicar medidas de seguridad adicionales. Es probable que más atacantes imiten este modelo". Sophos colaboró inmediatamente con Microsoft para solucionar el problema tras descubrir el controlador. Microsoft ha publicado más información en su aviso de seguridad y lo ha hecho público como parte del martes de parches.