Sophos alerta sobre código malicioso en múltiples controladores firmados por certificados digitales legítimos

El controlador tiene como objetivo el software de detección y respuesta para puntos finales (EDR); los ataques están vinculados al grupo Cuba Ransomware.

0
75

Sophos informó que ha encontrado código malicioso en múltiples controladores firmados por certificados digitales legítimos. Su último informe, «Signed Driver Malware Moves up the Software Trust Chain», detalla la investigación que comenzó con un intento de ataque de ransomware en el que los atacantes utilizaron un controlador malicioso firmado con un certificado digital legítimo de Windows Hardware Compatibility Publisher de Microsoft.

El controlador malicioso está diseñado para atacar específicamente los procesos utilizados por los principales paquetes de software de detección y respuesta de puntos finales (EDR) y fue instalado por malware que ha sido vinculado a actores de amenazas afiliados al ransomware Cuba, un grupo muy prolífico que ha atacado con éxito a más de 100 empresas en todo el mundo durante el año pasado. Sophos Rapid Response fue capaz de frustrar con éxito el ataque, y la investigación desencadenó una amplia colaboración entre Sophos y Microsoft para tomar medidas y hacer frente a la amenaza.

Los controladores pueden realizar operaciones altamente privilegiadas en los sistemas. Por ejemplo, los controladores en modo kernel pueden, entre otras cosas, terminar muchos tipos de software, incluido el de seguridad. Controlar qué controladores pueden cargarse es una forma de proteger los ordenadores de esta vía de ataque. Windows exige que los controladores lleven una firma criptográfica -un «sello de aprobación»- antes de permitir que se carguen.

Sin embargo, no todos los certificados digitales utilizados para firmar controladores son de la misma confianza. Algunos certificados de firma digital, robados y filtrados a Internet, se utilizaron posteriormente para firmar programas maliciosos; otros certificados han sido comprados y utilizados por editores de software PUA sin escrúpulos. La investigación de Sophos sobre un controlador malicioso utilizado para sabotear las herramientas de seguridad de puntos finales durante la comisión de un ataque de ransomware, reveló que los adversarios habían estado haciendo un esfuerzo concertado para pasar progresivamente de certificados digitales de menor a mayor confianza.

«Estos atacantes, probablemente afiliados al grupo de ransomware Cuba, saben lo que hacen y son persistentes. Hemos encontrado un total de 11 controladores maliciosos, todos variantes del descubrimiento inicial. Estos controladores muestran un esfuerzo concertado por ascender en la cadena de confianza, y el más antiguo se remonta al menos a julio. Los más antiguos que hemos encontrado hasta la fecha estaban firmados por certificados de empresas chinas desconocidas; luego siguieron adelante y consiguieron firmar el controlador con un certificado de NVIDIA válido, filtrado y revocado. Ahora, están utilizando un certificado de Microsoft, que es una de las autoridades más fiables del ecosistema Windows. Si se piensa en ello como si fuera la seguridad de una empresa, los atacantes han recibido esencialmente identificaciones válidas de la empresa para entrar en el edificio sin preguntas y hacer lo que les plazca», afirma Christopher Budd, director senior de investigación de amenazas de Sophos.

Un examen más detallado de los ejecutables utilizados en el intento de ataque ransomware encontró que el controlador firmado malicioso fue descargado en el sistema de destino con una variante del cargador BURNTCIGAR, una pieza conocida de malware afiliado con el grupo Cuba ransomware. Una vez que el cargador descarga el controlador en el sistema, éste espera a que se inicie uno de los 186 nombres de archivo de programas diferentes utilizados habitualmente por los principales paquetes de software de seguridad de puntos finales y EDR e intenta terminar esos procesos. Si tienen éxito, los atacantes pueden entonces desplegar el ransomware.

«En 2022, hemos visto cómo los atacantes de ransomware intentan cada vez más eludir los productos EDR de muchos, si no de la mayoría, de los principales proveedores. La técnica más común se conoce como ‘trae tu propio controlador’, que BlackByte utilizó recientemente, y consiste en que los atacantes exploten una vulnerabilidad existente en un controlador legítimo. Crear un controlador malicioso desde cero y conseguir que lo firme una autoridad legítima es mucho más difícil. Sin embargo, si lo consiguen, es increíblemente eficaz porque el controlador puede llevar a cabo cualquier proceso sin problemas. En el caso de este controlador en particular, prácticamente todo el software EDR es vulnerable; afortunadamente, las protecciones antimanipulación adicionales de Sophos pudieron detener el ataque del ransomware. La comunidad de seguridad debe ser consciente de esta amenaza para poder aplicar medidas de seguridad adicionales, como ojos en el cristal, cuando sea necesario; es más, es posible que veamos a otros atacantes intentar emular este tipo de ataque», dijo Budd.

Al descubrir este controlador, Sophos alertó rápidamente a Microsoft, y ambas empresas colaboraron para resolver el problema.

Fuente: Sophos

 

Custom Text
Artículo anteriorApple podría permitir tiendas de aplicaciones de terceros en el iPhone con iOS 17
Artículo siguienteARM ya no venderá diseños de chips avanzados a empresas chinas en concordancia con controles de exportación de EE.UU.