【濫用權限】MSI驅動程式變入侵缺口 BlackByte輕鬆無效化安全工具偵測
網絡安全公司Sophos發現,勒索軟件集團 BlackByte 採用了名為自帶內建驅動程式 ( Bring Your Own Driver ) 的新入侵手段,可無效化主流網絡安全工具所使用的過千驅動程式,而入侵的缺口,竟是 2019 年被發現的 MSI Afterburner 繪圖晶片驅動程式漏洞。
近來使用類似方法入侵的黑客集團有上升趨勢,當中包括 Lazarus 濫用 Dell 驅動程式及未知黑客濫用電腦遊戲《原神》反作弊驅動程式的安全漏洞。專家解釋,上述兩個個案的驅動程式因允許非管理員帳戶存取作業系統核心記憶體數據,因而可讓黑客覆寫程式碼或遙距執行指令,提升帳戶權限,繼而無效化電腦內網絡安全工具的偵測,令黑客可潛伏電腦內盜取數據,又或進一步引入其他惡意軟件。由於開發這些驅動程式的供應商有合法的驗證書,因此雖然違反了 Microsoft 的安全指引,但只要驗證書一日未被銷毁,驅動程式便可繼續運作。這次被利用的 MSI Afterburner 驅動程式,便與上述兩個個案同類。
專家指在第一階段的攻擊中,黑客首先會鑑定電腦內核心層作業系統的版本,根據收集的資料而選擇合適的攻擊套件,然後在 AppData\Roaming 資料夾內創建新的服務,利用 MSI Afterburner 存取核心記憶體數據權限,將與網絡安全工具相關的 Kernel Notify Routines 移除,令核心記憶體不會將已啟動的惡意攻擊套件通知電腦內的網絡安全工具,成功將惡意行為隱身。專家將採集到的惡意攻擊套件樣本作分析,發現 BlackByte 已預先收集了過千款主流網絡安全工具所使用的驅動程式,因此能準確將電腦內的安全保護無效化。
換言之,Blackbyte 新攻擊手法會命令系統停用受終端偵測及回應 ( EDR ) 供應商、Windows事故追蹤 ( ETW ) 及 Microsoft 威脅情報供應商廣泛使用的回調程序。由於 EDR 供應商經常借助此功能來監控常見的惡意行為,如果回調程序一旦被停用,EDR 供應商則無法進行監控工作。Sophos 威脅研究資深總經理 Christopher Budd 表示:「由於現時不同的服務供應商都在使用 ETW 功能,令 Blackbyte 組織擁有很多潛在目標,並繞過 EDR 系統以部署大型的攻擊活動。」
為了更準確阻止網絡安全工具的偵測,Sophos 專家又指出黑客還會掃描系統內的 DLL 動態連結程式庫,DLL 的作用是將部分可供不同程式共用的功能獨立抽取出來,因此如發現作業系統正在執行部分常被網絡安全工具使用的 DLL 檔,便可一併關閉其偵測功能,避免作業系統內有漏網之魚。要堵塞由 MSI 驅動程式產生的安全漏洞,專家建議系統管理員可以將特定的 MSI 驅動程序添加到阻止列表,便可防止黑客利用新方法繞過安全偵測。
相關文章:【持久戰】HP 16個UEFI漏洞 搶先啟動防毒軟件無符
