Ransomware verstopt zich in drivers met geldige certificaten
Sophos X-Ops heeft kwaadaardige code gevonden in verschillende drivers die zijn ondertekend met legitieme digitale certificaten. Het nieuwe rapport Signed driver malware moves up the software trust chain beschrijft het onderzoek, dat begon met een poging tot ransomware-aanval. De aanvallers gebruikten een schadelijke driver die was ondertekend met een legitiem Windows Hardware Compatibility Publisher digitaal certificaat van Microsoft. Het schadelijke stuurprogramma is specifiek gericht op processen die worden gebruikt door belangrijke softwarepakketten voor endpointdetectie en -respons (EDR). Het werd geïnstalleerd door malware die in verband wordt gebracht met dreigingsactoren rond de Cuba Ransomware Goup - een zeer productieve groep die vorig jaar met succes meer dan 100 bedrijven wereldwijd heeft aangevallen. Sophos Rapid Response kon de aanval met succes verijdelen. Dit onderzoek leidde tot een uitgebreide samenwerking tussen Sophos en Microsoft om actie te ondernemen en de dreiging uit te schakelen.
Kwaadaardige stuurprogramma's ondertekend met gestolen certificatenStuurprogramma's kunnen zeer bevoorrechte handelingen uitvoeren op systemen. Zo kunnen kernel-mode drivers vele soorten software beëindigen, waaronder beveiligingssoftware. Een manier om computers tegen dit soort aanvallen te beschermen is controleren welke stuurprogramma's kunnen worden geladen. Windows vereist dat drivers een cryptografische handtekening - een "goedkeuringsstempel" - dragen voordat de driver kan worden geladen. Niet alle digitale certificaten die worden gebruikt om drivers te ondertekenen zijn echter even betrouwbaar. Sommige gestolen en op het internet uitgelekte digitale ondertekeningscertificaten werden later misbruikt om malware te ondertekenen; andere certificaten werden gekocht en gebruikt door gewetenloze verkopers van PUA-software. Uit onderzoek van Sophos naar een kwaadaardig stuurprogramma dat werd gebruikt om tijdens een ransomware-aanval eindpuntbeveiligingstools te saboteren, bleek dat de aanvallers op een gecoördineerde manier te werk gingen om van minder vertrouwde naar steeds meer vertrouwde digitale certificaten te gaan.
Cuba hoogstwaarschijnlijk betrokken"Deze aanvallers, hoogstwaarschijnlijk leden van de ransomware-groep Cuba, weten wat ze doen - en ze zijn hardnekkig", zegt Christopher Budd, senior manager, threat research bij Sophos. "We hebben in totaal tien kwaadaardige drivers gevonden, die allemaal varianten zijn op de oorspronkelijke ontdekking. Deze drivers tonen een gezamenlijke inspanning om de betrouwbaarheid te verhogen, waarbij de oudste driver dateert van ten minste juli. De oudste drivers die we tot nu toe hebben gevonden waren ondertekend met certificaten van onbekende Chinese bedrijven. Daarna slaagden ze erin het stuurprogramma te ondertekenen met een geldig, gelekt en ingetrokken NVIDIA-certificaat. Nu gebruiken ze een legitiem Windows Hardware Compatibility Publisher digitaal certificaat van Microsoft, een van de meest vertrouwde entiteiten in het Windows ecosysteem. Als je het bekijkt vanuit het perspectief van bedrijfsbeveiliging, hebben de aanvallers geldige bedrijfsreferenties gekregen om zonder vragen binnen te komen en te doen wat ze willen," vervolgde Christopher Budd. Bij nader onderzoek van de uitvoerbare bestanden die werden gebruikt bij de poging tot ransomware-aanval bleek dat de schadelijke ondertekende driver werd gedownload naar het doelsysteem met behulp van een variant van de loader BURNTCIGAR, een bekende malware die behoort tot de Cuba ransomware-groep. Zodra de loader het stuurprogramma op het systeem heeft gedownload, wacht hij op een van de 186 verschillende programmabestandsnamen die gewoonlijk worden gebruikt door belangrijke endpointbeveiligings- en EDR-softwarepakketten en probeert hij deze processen te beëindigen. Als dat lukt, kunnen de aanvallers de ransomware inzetten.
Huidige trend: poging om alle huidige EDR-producten te omzeilen"In 2022 hebben we geconstateerd dat ransomware-aanvallers steeds vaker proberen om EDR-producten van veel, zo niet de meeste, grote leveranciers te omzeilen", vervolgt Christopher Budd. "De meest voorkomende techniek staat bekend als 'bring your own driver', waar BlackByte onlangs gebruik van maakte. Hierbij maken aanvallers gebruik van een bestaande kwetsbaarheid in een legitiem stuurprogramma. Het is veel moeilijker om een kwaadaardig stuurprogramma vanaf nul te creëren en te laten ondertekenen door een legitieme autoriteit. Als het lukt, is het echter ongelooflijk effectief, omdat het stuurprogramma willekeurige processen kan uitvoeren zonder dat het wordt aangevochten." In het geval van deze specifieke driver is vrijwel alle EDR-software kwetsbaar. Gelukkig konden de extra beveiligingsmaatregelen van Sophos de ransomware-aanval stoppen. De beveiligingsgemeenschap moet zich bewust zijn van deze dreiging, zodat ze aanvullende beveiligingsmaatregelen kunnen treffen. Het is waarschijnlijk dat meer aanvallers dit model zullen nabootsen." Sophos heeft onmiddellijk met Microsoft samengewerkt om het probleem te verhelpen nadat het stuurprogramma was ontdekt. Microsoft heeft verdere informatie vrijgegeven in zijn security advisory en uitgebracht als onderdeel van Patch Tuesday.