Aggiornamenti recenti Ottobre 25th, 2024 6:40 PM
Apr 21, 2023 Dario Orlandi Malware, Minacce, News, RSS 0
I ricercatori di Sophos hanno individuato un nuovo malware, denominato AuKill, che viene utilizzato dagli attaccanti per disabilitare i sistemi di endpoint detection and response (EDR) utilizzati dalle aziende, per poi installare ransomware; questo tool fa uso di un device driver malevolo per infiltrarsi nei sistemi.
Gli analisti hanno osservato in diverse occasioni un attaccante che utilizzava AuKill prima di installare il ransomware Medusa Locker; in un altro caso, il tool era stato attivato su un un sistema già compromesso prima di installare il ransomware LockBit.
Christopher Budd, senior manager of threat research at Sophos, ha commentato: “I criminali informatici stanno iniziando a riconoscere che gli agenti EDR forniscono ai vendor di sicurezza un significativo vantaggio nell’individuare gli attacchi. Così stanno colpendo gli strumenti che causano loro maggior difficoltà”.
Gli attacchi sono simili a una serie di incidenti che Sophos, Microsoft, Mandiant e SentinelOne hanno riportato a dicembre, dove gli attori delle minacce hanno utilizzato driver personalizzati per disabilitare i prodotti di sicurezza su sistemi già compromessi, lasciandoli quindi aperti per essere colpiti con altri software.
In quegli attacchi, gli attori delle minacce hanno utilizzato driver malevoli che Microsoft ha firmato digitalmente in modo inconsapevole, rendendoli quindi legittimi. In altri attacchi basati sui driver, i criminali hanno sfruttato una vulnerabilità in un driver di dispositivo legittimo per eseguire ransomware, elevare i privilegi e bypassare i controlli di sicurezza.
Alcuni vendor di sicurezza e ricercatori chiamano questa famiglia di tecniche “bring your own vulnerable driver” o attacco BYOVD. Anche il nuovo Aukill rientra nella categoria BYOVD: sfrutta, infatti, una versione legittima ma obsoleta e vulnerabile (16.32) di un driver utilizzato dall’utility Process Explorer di SysInternals per disabilitare i processi EDR.
Il driver vulnerabile di Process Explorer sfruttato da AuKill, come altri driver, ha accesso privilegiato sui sistemi installati e può agire sui processi in esecuzione, eventualmente anche terminandoli.
L’utility consente agli utenti di ottenere informazioni dettagliate su tutti i processi in esecuzione su un sistema, i loro percorsi eseguibili, le prestazioni e molte altre informazioni. Offre molteplici funzioni per monitorare l’attività di sistema in tempo reale, prioritizzare i processi e le identità, terminarli ed eseguire altre funzioni.
Nei recenti attacchi ransomware osservati da Sophos, l’attaccante ha iniettato lo strumento nei sistemi a cui aveva già accesso. Una volta sul sistema, AuKill rilascia un driver chiamato PROCEXP.SYS proveniente dalla versione 16.32 di Process Explorer nella stessa posizione del driver di Process Explorer legittimo (PROCEXP152.sys).
Budd ha spiegato: “Il driver di Process Explorer v.16.32 non lavora solo con l’eseguibile principale di Process Explorer. Altri programmi possono quindi inviare chiamate API al driver per sfruttarne le funzioni”.
Nel caso di AuKill, lo strumento abusa del driver legittimo per eseguire istruzioni che terminano i processi EDR e altri controlli di sicurezza sul computer compromesso. “Il malware sfrutta la funzione esistente nel driver che consente a Process Explorer di terminare i programmi in esecuzione”, ha proseguito Budd.
Sophos ha finora analizzato sei diverse versioni di AuKill e ha notato alcune modifiche sostanziali con ogni nuova versione. Le versioni più recenti, ad esempio, mirano a terminare più processi e servizi EDR.
Inoltre, includono una funzionalità che continua a sondare i processi e i servizi EDR per garantire che i processi terminati rimangano tali anche attraverso tentativi di riavvio. Gli autori del malware hanno aggiunto funzioni per rendere AuKill più robusto, eseguendo più thread contemporaneamente per proteggersi dal rischio di essere terminati.
Ott 23, 2024 0
Ott 22, 2024 0
Ott 21, 2024 0
Ott 16, 2024 0
Ott 25, 2024 0
Ott 25, 2024 0
Ott 25, 2024 0
Ott 24, 2024 0
Ott 25, 2024 0
Se in passato il tracciamento digitale era considerata una...Ott 22, 2024 0
Una delle problematiche più discusse degli assistenti di...Ott 22, 2024 0
Le minacce informatiche crescono in numero e complessità e...Ott 21, 2024 0
Le aziende si espandono e con esse anche i loro ambienti,...Ott 21, 2024 0
Di recente il team di Group-IB è riuscito a ottenere...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Ott 25, 2024 0
Tra le figure più richieste sul mercato del lavoro ci...Ott 25, 2024 0
Oltre 6.000 siti WordPress hackerati per installare plugin...Ott 24, 2024 0
Il team di Symantec ha scoperto che molte applicazioni...Ott 24, 2024 0
Gli attacchi ibridi alle password sono sempre più...Ott 23, 2024 0
Un’approfondita analisi dei ricercatori di sicurezza...