Un nuevo análisis de programas asesinos de EDR ha revelado que 54 de ellos utilizan la técnica conocida como BYOVD (traer tu propio controlador vulnerable) abusando de un total de 35 controladores vulnerables. Los programas asesinos de EDR son una presencia común en las intrusiones de ransomware, ya que ofrecen una forma para que los afiliados neutralicen el software de seguridad antes de implementar el malware de cifrado de archivos. Esto se hace para evadir la detección.
"Las bandas de ransomware, especialmente aquellas con programas de ransomware como servicio (RaaS), producen con frecuencia nuevas versiones de sus cifradores, y asegurarse de que cada nueva versión no sea detectada de manera confiable puede llevar mucho tiempo", dijo Jakub Souček, investigador de ESET, en un informe compartido con The Hacker News. "Más importante aún, los cifradores son inherentemente muy ruidosos (ya que necesitan modificar una gran cantidad de archivos en un período corto); hacer que dicho malware no sea detectado es bastante desafiante".
Los asesinos de EDR actúan como un componente especializado y externo que se ejecuta para deshabilitar los controles de seguridad antes de ejecutar los bloqueadores, manteniendo así a estos últimos simples, estables y fáciles de reconstruir. Esto no quiere decir que no haya casos en los que los módulos de terminación de EDR y ransomware se hayan fusionado en un solo binario. El ransomware Reynolds es un ejemplo de ello.
La mayoría de los asesinos de EDR dependen de controladores legítimos pero vulnerables para obtener privilegios elevados y lograr sus objetivos. Entre las casi 90 herramientas asesinas de EDR detectadas por la empresa de ciberseguridad eslovaca, más de la mitad utilizan la conocida táctica BYOVD simplemente porque es confiable.
"El objetivo de un ataque BYOVD es obtener privilegios en modo kernel, a menudo llamado Ring 0", explica Bitdefender. "En este nivel, el código tiene acceso sin restricciones a la memoria del sistema y al hardware. Dado que un atacante no puede cargar un controlador malicioso sin firmar, 'trae' un controlador firmado por un proveedor de renombre (como un fabricante de hardware o una versión antigua de antivirus) que tiene una vulnerabilidad conocida".
Armados con el acceso al kernel, los actores de amenazas pueden terminar procesos de EDR, deshabilitar herramientas de seguridad, manipular devoluciones de llamada del kernel y socavar las protecciones de endpoints. El resultado es un abuso del modelo de confianza de controladores de Microsoft para evadir defensas, aprovechando el hecho de que el controlador vulnerable es legítimo y está firmado.
Los asesinos de EDR basados en BYOVD son desarrollados principalmente por tres tipos de actores de amenazas:
- Grupos de ransomware cerrados como DeadLock y Warlock que no dependen de afiliados
- Atacantes que bifurcan y modifican código de prueba de concepto existente (por ejemplo, SmilingKiller y TfSysMon-Killer)
- Ciberdelincuentes que comercializan dichas herramientas en mercados subterráneos como servicio (por ejemplo, DemoKiller aka Бафомет, ABYSSWORKER y CardSpaceKiller)
ESET dijo que también identificó herramientas basadas en scripts que utilizan comandos administrativos integrados como taskkill, net stop o sc delete para interferir con el funcionamiento normal de los procesos y servicios de los productos de seguridad. También se ha encontrado que variantes selectas combinan scripts con el Modo Seguro de Windows.
"Dado que el Modo Seguro carga solo un subconjunto mínimo del sistema operativo, y las soluciones de seguridad típicamente no están incluidas, el malware tiene una mayor probabilidad de deshabilitar la protección", señaló la compañía. "Al mismo tiempo, dicha actividad es muy ruidosa, ya que requiere un reinicio, lo cual es riesgoso y poco confiable en entornos desconocidos. Por lo tanto, solo se ve raramente en la naturaleza".
La tercera categoría de asesinos de EDR son los anti-rootkits, que incluyen utilidades legítimas como GMER, HRSword y PC Hunter, que ofrecen una interfaz de usuario intuitiva para terminar procesos o servicios protegidos. Una cuarta clase emergente es un conjunto de asesinos de EDR sin controlador como EDRSilencer y EDR-Freeze que bloquean el tráfico saliente de las soluciones EDR y hacen que los programas entren en un estado similar a un "coma".
"Los atacantes no están poniendo mucho esfuerzo en hacer que sus cifradores no sean detectados", dijo ESET. "Más bien, todas las sofisticadas técnicas de evasión de defensas se han trasladado a los componentes en modo de usuario de los asesinos de EDR. Esta tendencia es más visible en los asesinos de EDR comerciales, que a menudo incorporan capacidades maduras de anti-análisis y anti-detección".
Para combatir el ransomware y los asesinos de EDR, bloquear la carga de controladores comúnmente mal utilizados es un mecanismo de defensa necesario. Sin embargo, dado que los asesinos de EDR se ejecutan solo en la última etapa y justo antes de lanzar el cifrador, un fallo en esta etapa significa que el actor de amenazas puede cambiar fácilmente a otra herramienta para lograr la misma tarea.
La implicación es que las organizaciones necesitan defensas en capas y estrategias de detección para monitorear, marcar, contener y remediar proactivamente la amenaza en cada etapa del ciclo de vida del ataque.
"Los asesinos de EDR perduran porque son baratos, consistentes y desacoplados del cifrador, un ajuste perfecto tanto para los desarrolladores de cifradores, que no necesitan centrarse en hacer que sus cifradores sean indetectables, como para los afiliados, que poseen una utilidad potente y fácil de usar para interrumpir las defensas antes del cifrado", dijo ESET.
