Un ransomware se cache dans des pilotes avec des certificats valides
Sophos X-Ops a trouvé du code malveillant dans plusieurs pilotes signés avec des certificats numériques légitimes. Le nouveau rapport Signed driver malware moves up the software trust chain décrit l'enquête qui a commencé par une tentative d'attaque par ransomware. Les attaquants ont utilisé un pilote malveillant signé avec un certificat numérique légitime Windows Hardware Compatibility Publisher de Microsoft. Le pilote malveillant cible spécifiquement les processus utilisés par les principaux progiciels de détection et de réponse aux incidents (EDR). Il a été installé par un malware associé à des acteurs de la menace dans l'environnement du Cuba Ransomware Goup - un groupe très productif qui a attaqué avec succès plus de 100 entreprises dans le monde l'année dernière. Sophos Rapid Response a réussi à déjouer cette attaque. Cette enquête a déclenché une vaste collaboration entre Sophos et Microsoft afin de prendre des mesures et d'éliminer la menace.
Pilotes malveillants signés avec des certificats volésLes pilotes peuvent effectuer des opérations hautement privilégiées sur les systèmes. Les pilotes en mode noyau, par exemple, peuvent notamment arrêter de nombreux types de logiciels, y compris des logiciels de sécurité. Contrôler quels pilotes peuvent être chargés est un moyen de protéger les ordinateurs contre ce type d'attaques. Windows exige que les pilotes portent une signature cryptographique - un "cachet d'approbation" - avant que le pilote puisse être chargé. Toutefois, les certificats numériques utilisés pour signer les pilotes ne sont pas tous aussi fiables. Certains certificats de signature numérique volés et diffusés sur Internet ont ensuite été détournés pour signer des malwares ; d'autres certificats ont été achetés et utilisés par des éditeurs de logiciels PUA peu scrupuleux. L'enquête de Sophos sur un pilote malveillant utilisé pour saboter les outils de sécurité des systèmes d'extrémité lors d'une attaque de ransomware a révélé que les attaquants ont agi de manière concertée pour passer de certificats numériques moins fiables à des certificats de plus en plus fiables.
Cuba très probablement impliqué"Ces attaquants, très probablement des membres du groupe de ransomware Cuba, savent ce qu'ils font - et ils sont persévérants", déclare Christopher Budd, senior manager, Threat Research chez Sophos. "Nous avons trouvé un total de dix pilotes malveillants, qui sont tous des variantes de la découverte initiale. Ces pilotes montrent un effort concerté pour remonter dans le classement de confiance, le plus ancien remontant au moins au mois de juillet. Les pilotes les plus anciens que nous avons trouvés jusqu'à présent étaient signés avec des certificats d'entreprises chinoises inconnues. Ensuite, ils ont réussi à signer le pilote avec un certificat NVIDIA valide, ayant fait l'objet d'une fuite et révoqué. Maintenant, ils utilisent un certificat Windows Hardware Compatibility Publisher Digital légitime de Microsoft, l'une des instances les plus fiables de l'écosystème Windows. Si l'on se place du point de vue de la sécurité d'une entreprise, les attaquants ont obtenu des badges d'entreprise valides pour entrer dans le bâtiment sans poser de questions et faire ce qu'ils veulent", poursuit Christopher Budd. Un examen plus approfondi des fichiers exécutables utilisés dans la tentative d'attaque par ransomware a révélé que le pilote malveillant signé a été téléchargé sur le système cible à l'aide d'une variante du chargeur BURNTCIGAR, un malware connu appartenant au groupe de ransomware Cuba. Une fois que le chargeur a téléchargé le pilote sur le système, il attend le lancement de l'un des 186 noms de fichiers de programme différents généralement utilisés par les principaux logiciels de sécurité des points finaux et EDR, puis tente de mettre fin à ces processus. S'ils y parviennent, les pirates peuvent alors utiliser le ransomware.
Tendance actuelle : tentative de contourner tous les produits EDR courants"En 2022, nous avons observé que les attaquants de ransomware tentent de plus en plus de contourner les produits EDR de nombreux, si ce n'est de la plupart des grands fabricants", poursuit Christopher Budd. "La technique la plus courante est connue sous le nom de 'Bring your own driver', utilisée récemment par BlackByte. Dans ce cas, les pirates exploitent une faille existante dans un pilote légitime. Il est beaucoup plus difficile de créer un pilote malveillant à partir de zéro et de le faire signer par une autorité légitime. Mais si cela réussit, c'est incroyablement efficace, car le pilote peut exécuter n'importe quel processus sans que cela soit remis en question". Dans le cas de ce pilote particulier, pratiquement tous les logiciels EDR sont vulnérables. Heureusement, les mesures supplémentaires de protection contre la manipulation mises en place par Sophos ont permis de stopper l'attaque du ransomware. La communauté de la sécurité doit être consciente de cette menace afin de pouvoir mettre en œuvre des mesures de sécurité supplémentaires. On peut s'attendre à ce que d'autres attaquants imitent ce modèle". Après avoir découvert le pilote, Sophos a immédiatement collaboré avec Microsoft pour corriger le problème. Microsoft a publié des informations supplémentaires dans son avis de sécurité et l'a diffusé dans le cadre du Patch Tuesday.