DeadLock: вымогатель использует уязвимость драйвера Baidu (CVE-2024-51324)

Cisco Talos зафиксировал новую, технически изощрённую кампанию финансово мотивированных злоумышленников, связанная с программой-вымогателем DeadLock. Хакеры применяют технику BYOVD (Bring Your Own Vulnerable Driver), используя уязвимый драйвер антивируса Baidu (CVE-2024-51324) для вывода из строя средств защиты и обеспечения устойчивого доступа к жертвенным сетям.

Ключевые факты

• Актор использует уязвимость CVE-2024-51324 в драйвере антивируса Baidu для отключения служб EDR (Endpoint Detection and Response).
• Атаки инициируются через PowerShell с обходом UAC, отключением Windows Defender, остановкой критических обновлений и удалением shadow copies.
• DeadLock нацелен на Windows и применяет собственный механизм шифрования с криптографическими ключами, основанными на времени.
• Вариант DeadLock активен по крайней мере с июля 2025 года; оператор не публикует сайт утечек, вместо этого общается с жертвами через Session messenger.
• Злоумышленники сохраняли доступ в сеть жертвы примерно пять дней до этапа шифрования и развёртывали удалённый доступ — AnyDesk — за день до шифрования.

Сценарий атаки — по шагам

По данным расследования, атака строится по следующему сценарию:

• Эксплуатация уязвимого драйвера Baidu (BYOVD) — злоумышленник загружает и использует собственный уязвимый драйвер для обхода защитных механизмов хоста.
• Отключение элементов защиты: через легитимный исполняемый файл SystemSettingsAdminFlows.exe изменяются параметры Windows Defender (реальное время, облачная защита), запускаются команды, запрещающие отправку подозрительных файлов для анализа.
• Обход UAC и выполнение команд PowerShell, которые выключают защиту, останавливают обновления, удаляют shadow copies и прекращают критические процессы восстановления.
• Установка AnyDesk для обеспечения удалённого постоянного доступа, после чего следует внутренняя разведка и латеральное перемещение в течение нескольких дней.
• Развёртывание Ransomware — шифрование файлов с использованием кастомного криптографического механизма DeadLock и дальнейшее требование выкупа. Контакт с жертвами осуществляется через Session messenger, сайт с утечками не используется.

«Актор воспользовался уязвимостью в драйвере антивируса Baidu, обозначенной CVE-2024-51324, чтобы отключить службы обнаружения конечных точек и реагирования (EDR)».

Технические особенности DeadLock

Программа-вымогатель DeadLock демонстрирует ряд технических решений, направленных на эффективность шифрования и затруднение расследования:

• Кастомный механизм шифрования с криптографическими ключами, основанными на времени — ключи генерируются с привязкой ко времени, что усложняет стандартные подходы к дешифровке.
• Выборочное шифрование — злоумышленник целенаправленно шифрует типы файлов, минимизируя повреждение системы и снижая вероятность нарушений работы ОС — это повышает шансы на успешное получение выкупа.
• Защита от криминалистики: стратегии, препятствующие восстановлению, включая удаление shadow copies и блокировку служб резервного копирования.
• Эффективная реализация ввода/вывода: рекурсивный обход каталогов, использование memory-mapped I/O и многопоточности для быстрого шифрования больших объёмов данных.
• В бинарном файле содержится большой конфигурационный блок — ~8 888 байт — который программа анализирует во время выполнения для определения операционных протоколов.
• Реализация криптографии отличается от стандартных Windows cryptographic API, что усложняет обнаружение и анализ с помощью привычных инструментов.

Значение манипуляций с защитой

Особое внимание привлекает использование легитимных системных инструментов и драйверов для подрыва защиты: запуск SystemSettingsAdminFlows.exe для изменения настроек, применение BYOVD и отключение отправки образцов затрудняют своевременное обнаружение и анализ атак. Это согласуется с современной тактикой атакующих, стремящихся использовать «living off the land» подходы и легитимные компоненты ОС.

Рекомендации для защиты

• Обновить и патчить драйверы и ПО — особенно обратить внимание на защитные решения и их драйверы (предмет CVE-2024-51324).
• Ограничить запуск непроверенных драйверов и контролировать установку инструментов удалённого доступа (AnyDesk и аналоги).
• Мониторить использование SystemSettingsAdminFlows.exe и необычные изменения параметров Windows Defender и отправки образцов на анализ.
• Ограничить возможности выполнения сценариев через PowerShell, включить логирование и детектирование команд с повышенными привилегиями и с обходом UAC.
• Обеспечить изолированные и проверяемые резервные копии, хранящиеся вне сети, чтобы снизить влияние удаления shadow copies.
• Проверять телеметрию на аномалии: длительное присутствие в сети (несколько дней), нетипичная внутренняя разведка и перемещения до точки шифрования.

Расследование Cisco Talos подчёркивает, что современные Ransomware-операторы активно комбинируют эксплуатацию уязвимостей драйверов, легитимные системные утилиты и продвинутые методы шифрования. Это требует от организаций усиления контроля за драйверами, мониторинга поведения процессов и своевременного обновления систем безопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "DeadLock: вымогатель использует уязвимость драйвера Baidu (CVE-2024-51324)".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.