Napadači koriste AuKill alatku za gašenje sigurnosnog softvera
Sigurnosni istraživači su primijetili da napadači koriste AuKill alatku za gašenje sigurnosnog softvera korištenjem tehnike donesite svoj ranjivi upravljači softver (eng. Bring Your Own Vulnerable Driver – BYOVD).
Napadači koriste AuKill alatku za gašenje sigurnosnog softvera; Dizajn: Saša Đurić
Šta je AuKill?
AuKill je nova alatka za hakovanje koja se sve više koristi među zlonamjernim napadačima zbog svojih skrivenih mogućnosti. Ovaj alat omogućava napadaču da ugasi softver za detekciju i odgovor na prijetnje (eng. Endpoint detection and response – EDR) koji koriste poslovne organizacije kao bi zaštitile svoje poslovno okruženje. Tokom tri mjeseca praćenja, sigurnosni istraživači su otkrili šest različitih verzija ovoga alata i analizirali promjene.
AuKill se koristi za ubacivanje ranjivog Windows upravljačkog softvera procexp.sys odmah pored onog koji koristi Microsoft Process Explorer u verziji 16.32, koji je legitimna i veoma popularna alatka koja pomaže u prikupljanju informacija o aktivnim Windows procesima.
Kako napad funkcioniše?
AuKill alatka cilja Process Explorer u verziji 16.32, odnosno zastarjeli upravljači softver koji ova verzija koristi, korištenjem tehnike donesite svoj ranjivi upravljači softver. Odmah nakon infekcije uređaja, dolazi do ubacivanja ranjivog upravljačkog softvera procexp.sys na istu lokaciju gdje se nalazi legitimni upravljači softver za Process Explorer.
U sljedećem koraku dolazi do provjere da li je pokrenut sa sistemskim privilegijama. Ako nije pokušava se zloupotrijebiti TrustedInstaller Windows Modules Installer servs kako bi se došlo do potrebnih privilegija. Nakon toga, dolazi do pokretanja nekoliko procesa koji skeniranju i gase softver za detekciju i odgovor na prijetnje (EDR).
“Alat je korišćen tokom najmanje tri incidenta sa ransomware-om od početka 2023. da bi se sabotirala zaštita mete i primijenio ransomware. U januaru i februaru, napadači su primijenili ransomware Medusa Locker nakon upotrebe alata; u februaru, napadač je koristio AuKill neposredno pre postavljanja Lockbit ransomware-a.”
– Sophos X-Ops –
Zaštita
Kako bi se zaštitili od ove vrste napada korisnici bi trebao da:
- Provjere da li njihova sigurnosna rješenja imaju zaštitu od neovlaštenog pristupa. Ova karakteristika pruža važan dodatni sloj zaštite protiv ovakve vrste napada.
- Primjenjuju dobre prakse sajber bezbjednosti, jer ovu vrstu napada je moguće izvesti samo ako napadač dobije povlaštene korisničke ili administratorske privilegije. Razdvajanje između korisničkih i administratorskih privilegija može pomoći u sprečavanju napadača da ih zloupotrijebi.
- Svoje uređaje redovno ažuriraju kako bi uvijek imali zadnju listu opozvanih certifikata i zastarjelog upravljačkog softvera, a koje se redovno dopunjavaju kroz sistemska ažuriranja.
- Povedu računa o ažuriranju za aplikacije i druge alate na uređaju, kao i da se redovno uklanjaju softver i alati koji se više ne koriste.
Zaključak
AuKill je sličan alatu otvorenog kôda koji se zove Backstab, koji takođe koristi Process Explorer upravljački softver za onesposobljavanje sigurnosnih rješenja na kompromitovanim uređajima. Backstab je prethodno primijenila grupa LockBit u najmanje jednom napadu gdje je korišten ransomware LockBit 3.0. Početkom ove godine, uočen je i .NET program za učitavanje nazvan MalVirt, koji zloupotrebljava isti upravljački softver kako bi isporučio FormBook kradljivac informacija.
Iz svega navedenog se može zaključiti da je zloupotreba ranjivog upravljačkog softvera veoma popularan metod napada. Otkriće alata kao što su AuKill,Backstab i MalVirt ukazuje na to da nekoliko zlonamjernih napadača automatizuje svoje metode napada i potvrđuje pretpostavku da će zlonamjerni napadači napraviti još veći razvoj u ovoj oblasti.
