Killer Ultra zlonamjerni softver gasi EDR i antivirus alate
Killer Ultra je zlonamjerni softver identifikovan u maju 2023.godine, a korišten je u ransomware napadima da naruši odbranu onemogućavanjem popularnih softvera za detekciju i odgovor na prijetnje (eng. Endpoint detection and response – EDR) i antivirusnih alata.
KILLER ULTRA
Poreklo Killer Ultra zlonamjernog softvera se može pratiti do analize Qilin ransomware napada. Nakon detaljnijeg ispitivanja, sigurnosni istraživači u kompaniji ARC Labs su identifikovali da se ovi napadi oslanjaju na neobičan modul pod nazivom Killer Ultra, koji je bio odgovoran za onemogućavanje bezbjednosnih rješenja na ciljanim sistemi. Ova zlonamjerna alatka je stekla slavu zbog povezanosti sa ranjivošću u upravljačkom softveru Zemana AntiLogger (CVE-2024-1853) i prodajom na ruskim forumima za hakovanje kao samostalni EDR ubica pod nazivom “Terminator”.
Naziv Killer Ultra je izvedeno iz ovog modula, koji igra ključnu ulogu u funkcionalnosti zlonamjernog softvera. Primarni Killer Ultra cilj je da izbjegne detekciju bezbjednosnih alata i prekine procese povezane sa softverom za detekciju i odgovor na prijetnje – EDR i antivirusnim alatima. Ovo omogućava napadačima da izvrše svoje zlonamjerne aktivnosti bez ometanja i detekcije.
Funkcionisanje
Da bi započeo svoje operacije, Killer Ultra koristi dobro dokumentovani ranjivi upravljački softver Zemana kao mehanizam za izvršavanje svog zlonamjernog kôda na nivou jezgra sistema (eng. kernel). Datoteka upravljačkog softvera se zove amsdk.sys i automatski se izdvaja iz korisnog tereta zlonamjernog softvera tokom izvršavanja i upisuje se na na disk pod imenom “trevor”.
Po pokretanju, Killer Ultra izvodi nekoliko tehnika izbjegavanja koje imaju za cilj da izbjegnu detekciju od strane bezbjednosnih alata krajnjih tačaka. Jedna takva tehnika uključuje korištenje Userland Unhooking metoda da bi se NTDLL funkcije zamijenile sopstvenom kopijom koja nije priključena. Ovaj metod omogućava Killer Ultra zlonamjernom softveru da izvrši zlonamjerni kôd, a da ga ne otkriju priključci koje EDR i antivirusna rješenja postavljaju na ove funkcije.
Da bi dalje izbjegao otkrivanje, Killer Ultra pokreće notepad.exe preko CreateProcessA i zamjenjuje sopstvenu kopiju NTDLL onom iz notepad.exe. Ova tehnika je dizajnirana da izbjegne priključke koje bezbjednosni alati postavljaju na NTDLL funkcije. Pored toga, Killer Ultra mijenja dozvole za EtwEventWrite unutar NTDLL, potencijalno onemogućujući Event Tracing for Windows – ETW događaje povezane sa svojim aktivnostima.
Nakon što uspješno izbjegne otkrivanje i stekne neophodne privilegije, Killer Ultra namjerava da prekine procese povezane sa popularnim softvera za detekciju i odgovor na prijetnje (eng. Endpoint detection and response – EDR). Ciljani alati su:
- Symantec Endpoint Protection (SEP)
- Microsoft Defender Antivirus
- Windows Security Center
- SentinelOne Agent
- Carbon Black CB Defense
- CrowdStrike Falcon
- McAfee Endpoint Protection
- Kaspersky Anti-Virus
- Trend Micro Deep Security
- Sophos Antivirus
Da bi spriječio ponovno pokretanje bezbjednosnih alatki nakon ponovnog pokretanja sistema, Killer Ultra kreira dva zakazana zadatka pod nazivom Microsoft Security i Microsoft Maintenance za pokretanje pri pokretanju sistema. Pored svojih mogućnosti za okončanje procesa, Killer Ultra je takođe opremljen funkcijom brisanja evidencije događaja koja nabraja i briše sve Windows evidencije događaja. Ova tehnika osigurava da se svaki dokaz o aktivnostima zlonamjernog softvera na ciljanim sistemima izbriše, što otežava da sigurnosni timovi blagovremeno otkriju i reaguju na napade.
Dalja analiza je otkrila da Killer Ultra sadrži dodatne mogućnosti povezane sa alatima za post-eksploataciju. Ove mogućnosti uključuju preuzimanje i izvršavanje alata preko kanala za komandu i kontrolu (C2), potencijalno omogućavajući napadačima da dobiju dalji pristup ciljanim sistemima ili eskaliraju privilegije za opsežniju eksfiltraciju podataka ili destruktivne aktivnosti.
Ranjivost koja sve ovo omogućava je CVE-2024-1853, ranjivost proizvoljnog završetka procesa (eng. Arbitrary Process Termination – APT) identifikovana u Zemana AntiLogger v2.74.204.664 softveru. Ova ranjivost omogućava napadačima da prekinu bilo koji proces na ciljanom sistemu tako što će iskorištavati ranjivi upravljački softver i slati mu posebno napravljene komande.
ZAKLJUČAK
Killer Ultra je sofisticirana vrsta zlonamjernog softvera koja je uzburkala bezbjednosnu sajber zajednicu zbog svojih jedinstvenih mogućnosti i povezanosti sa raznim ransomware napadima. Njegov primarni cilj je da naruši odbranu tako što će onemogućiti popularne bezbjednosne softvere za detekciju i odgovor na prijetnje (EDR) i antivirusne alate, pružajući napadačima priliku da neotkriveno izvrše svoje korisne teret.
Korištenjem dobro dokumentovanog upravljačkog softvera Zemana kao mehanizma za izvršavanje svog zlonamjernog kôda na nivou jezgra sistema i iskorišćavanje CVE-2024-1853 ranjivosti, Killer Ultra je u stanju da izbjegne otkrivanje, prekine procese povezane sa bezbjednosnim rješenjima, očisti evidenciju događaja i potencijalno preuzima i izvršava dodatne zlonamjerne alate preko komandno-kontrolnog kanala. Organizacije moraju biti na oprezu protiv takvih prijetnji primjenom robusnih strategija zaštite krajnjih tačaka koje mogu da otkriju i reaguju na ove napredne napade u realnom vremenu.
ZAŠTITA
Da bi se organizacije zaštitile od Killer Ultra zlonamjernog softvera, neophodno je primijeniti višeslojni pristup koji se bavi njegovim različitim mogućnostima i tehnikama. Evo nekoliko preporučenih koraka:
- Uvjeriti se da su bezbjednosna rješenja, kao što su antivirusni softver i sistemi za sprečavanje upada na host (eng. host intrusion prevention systems – HIPS), ažurna sa najnovijim definicijama i potpisima za otkrivanje i blokiranje poznatih ponašanja i naziva procesa Killer Ultra. Pošto Killer Ultra cilja specifične proizvode za bezbjednost po njihovim nazivima procesa, ključno je imati riješenja koja mogu da identifikuju i zaštite od XOR kodiranih imena procesa,
- Primijeniti smjernice za kontrolu aplikacija da bi se ograničillo izvršavanje neodobrenih ili nepoznatih aplikacija, posebno onih koje se nalaze na sumnjivim putanjama. Ovo će spriječiti Killer Ultra da kreira svoje zakazane zadatke pri pokretanju sistema i pomoći u održavanju čistog okruženja,
- Obrazovati korisnike o phishing napadima i taktikama društvenog inženjeringa koje mogu dovesti do instaliranja zlonamjernog softvera kao što je Killer Ultra. Korisnike treba ohrabriti da budu oprezni kada otvaraju priloge elektronske pošte, klikću na veze iz nepoznatih izvora ili preuzimaju datoteke sa nepouzdanih internet lokacija,
- Implementirati bezbjednosne kontrole mreže kao što su zaštitni zidovi i sistemi za otkrivanje upada (eng. intrusion detection systems – IDS) da bi se pratili poznati pokazatelji kompromisa u vezi sa Killer Ultra zlonamjernim softverom. Konfigurisati IDS da šalje obavještenja kada otkrije bilo kakvu sumnjivu aktivnost koja odgovara ponašanju zlonamjernog softvera, kao što su pokušaji prekida određenih procesa ili brisanje evidencije događaja,
- Održavati sav softver i operativne sisteme ažurnim sa najnovijim ispravkama i bezbjednosnim ažuriranjima. Ovo će pomoći u zaštiti od poznatih ranjivosti koje Killer Ultra može da iskoristi da bi stekao uporište u mrežnom okruženju,
- Redovno praviti rezervne kopije kritičnih podataka da da bi se obezbijedio kontinuitet poslovanja u slučaju napada ili kompromitovanja sistema. U slučaju uspješne infekcije, treba biti moguće vratiti svoje sisteme iz čiste rezervne kopije i na taj način smanjiti potencijalnu štetu,
- Implementirati softvere za detekciju i odgovor na prijetnje (EDR) koji pružaju uvid u aktivnosti krajnje tačke u realnom vremenu i pomažu u otkrivanju naprednih prijetnji kao što je Killer Ultra. Ove alatke mogu da nadgledaju sumnjive obrasce ponašanja, kao što su prekidi procesa ili planirano kreiranje zadataka, i da obavijeste kada do njih dođe,
- Razvijati Plan odgovora na sajber prijetnju kako bi se smanjio uticaj uspješnog napada Killer Ultra zlonamjernog softvera. Ovo bi trebalo da uključuje korake za izolovanje zaraženih sistema, zadržavanje širenja zlonamjernog softvera i vraćanje zahvaćenih podataka iz rezervnih kopija. To podrazumijeva i redovno testiranje Plan odgovora na sajber prijetnju kako bi se osiguralo da je efikasan i ažuriran sa najnovijim prijetnjama,
- Implementirati politike pristupa sa najmanjim privilegijama da bi se ograničile privilegije korisnika što je više moguće. Ovo će pomoći u sprečavanju neovlaštenih korisnika ili zlonamjernog softvera da unose promjene koje bi mogle da ugroze sisteme ili podatke,
- Redovno nadgledati evidencije i izvještaje koje generišu bezbjednosna rješenja za bilo koju sumnjivu aktivnost u vezi sa Killer Ultra zlonamjernog softvera ili sličnim prijetnjama. Redovno analiziranje ovih evidencija može pomoći da se identifikuju trendovi, potencijalne ranjivosti i pokazatelji kompromisa.