Sophos針對知名勒索軟件組織BlackByte最新的「自帶內建驅動程式」
發布最新調查報告
揭示組織成功繞過 1,000 多個企業終端偵測及回應 (EDR) 產品所採用的驅動程式
針對日前勒索軟件組織BlackByte採用的「自帶內建驅動程式」技術,成功繞過1,000 個企業終端偵測和回應(EDR)產品所使用的驅動程式,新一代網絡安全領域的全球領導廠商Sophos 今天發佈《消除所有回調程序-Blackbyte勒索軟件利用RTCore64.sys停用EDR功能》的詳細調查報告,並分析BlackByte所採用的攻擊策略、技術和程序(TTPs)等。
BlackByte 於今年年初被美國特勤局和美國聯邦調查局 (FBI)視為能對關鍵基礎設施構成重大威脅的機構,其後於今年5月因新的數據外洩網站和勒索手法出現,則再次被列為重大威脅。最近,Blackbyte組織不斷利用新的攻擊手法,濫用Windows系統內的圖像公用程式RTCore6.sys的漏洞,直接向目標的核心系統傳達訊息,且命令系統停用受EDR供應商、Windows事故追蹤(ETW)及Microsoft威脅情報供應商廣泛使用的回調程序。由於EDR供應商經常借助此功能來監控常見的惡意行為,如果回調程序一旦被停用,EDR供應商則無法進行監控工作。
Sophos 威脅研究資深總經理 Christopher Budd 表示:「假如我們把電腦視為堡壘,對許多EDR供應商而言,ETW則被視為大門的守衛。當堡壘的大門沒有守衛時,系統內的其他部分則會變得極其脆弱。由於現時不同的服務供應商都在使用ETW功能,令Blackbyte組織由於擁有很多潛在目標,並繞過EDR系統以部署大型的攻擊活動。」
BlackByte並非唯一利用「自帶內建驅動程式」以繞過安全產品偵測的勒索軟件組織,而AvosLocker 於5月份亦濫用不同驅動程式中的漏洞,以停用系統內的防毒軟件及安全解決方案。
Budd續指:「現時,根據我們在此技術領域的觀察,繞過EDR的攻擊策略將變成勒索軟件威脅組織的常用技術。攻擊者通常利用『進攻安全(Offensive Security)』領域所研發的工具和技術,以最短的時間進行攻擊。事實上,Blackbyte正正從EDRSandblast 開源工具之中,取得部分EDR系統的執行部分,從而繞過EDR系統。」
Budd補充說:「隨著犯罪分子正利用進攻安全領域的技術進行攻擊,企業應在相關攻擊技術受廣泛利用前,盡快掌握能有效監測和防範攻擊的技術,採取妥善的防禦措施。」
欲了解更多有關 BlackByte 的最新攻擊策略、技術及程序(TTP) 以及確保系統安全的其他情報,請瀏覽 Sophos.com 下載完整報告。
發表迴響