Ransomware-bende omzeilt EDR-beveiliging via lek in driver

code security log4j

Ransomware-bende BlackByte misbruikt een lek in een populaire GPU-driver om hogere privileges te bemachtigen op een systeem en vervolgens meer dan 1.000 drivers voor antivirussoftware te omzeilen.

Beveiligingsonderzoekers van Sophos waarschuwen voor een gevaarlijke nieuwe techniek van cybercriminelen. Hackers van BlackByte hebben een aanval ontwikkeld waarmee ze een lek in een veelgebruikte grafische driver voor Windows misbruiken. Het gaat om CVE-2019-16098 in RTCore64.sys en RTCore32.sys. De driver wordt door MSI Afterburner gebruikt en is zo terug te vinden in veel overklokte systemen.

Het lek bestaat al een hele tijd en is ook al gepatcht, maar helaas hebben veel gebruikers die memo nog niet gehad. Daardoor zijn hun systemen kwetsbaar. BlackByte gebruikt de bug in de driver om toegang te krijgen tot de privileges van een geauthentiseerd gebruikersaccount. Van daaruit kunnen de aanvallers naar arbitrair geheugen schrijven.

Cozy met de kernel

In een volgende stap gebruiken de hackers van BlackByte hun toegang om meer dan 1.000 drivers van beveiligingsoplossingen te omzeilen. Dat doen ze door rechtstreeks met de kernel van een systeem te praten en daar processen voor zowel EDR (Endpoint-detectie en respons) als ETW (Event Tracing voor Windows) uit te schakelen.

Veel EDR-oplossingen gebruiken ETW als belangrijke link in hun beveiliging. Zonder ETW zijn de oplossingen blind, waardoor de aanvallers ongestoord hun gang kunnen gaan. Het einddoel van BlackByte is om een systeem te versleutelen met ransomware en losgeld te vragen. Dat gaat soms gepaard met het stelen van data.

Illustratie van EDR-beperkingen

De aanval is vooral gevaarlijk voor hobbyisten, aangezien de driver waarmee de aanval start zelden op een professioneel systeem aanwezig zal zijn. De aanvalsstrategie toont wel heel goed de beperkingen van EDR-bescherming alleen. De beveiligingsindustrie vertelt al jaren dat extra detectie op netwerkniveau essentieel is om grip te krijgen op moderne aanvallen. In dit geval is de meerwaarde duidelijk.

Met EDR uitgeschakeld is een individueel systeem kwetsbaar, maar detectie op netwerkniveau kan wel nog onregelmatigheden vaststellen. Denk maar aan verbindingen met command & control-infrastructuur, of datatransfers die erop wijzen dat een crimineel data aan het stelen is. Zo is het in theorie mogelijk om de BlackByte-aanval wel tijdig te detecteren en te stoppen. Zonder extra beschermingslaag wordt dat moeilijk.

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.