Злоумышленники использовали уязвимый драйвер Windows для отключения средств защиты конечных точек. Эксперты Huntress выявили применение старого драйвера EnCase forensic в рамках техники BYOVD для обхода EDR-систем. Атака началась с компрометации VPN-сертификатов. — csoonline.com
В недавнем инциденте злоумышленники использовали легитимный, но уязвимый драйвер ядра Windows для отключения инструментов безопасности конечных точек во время реагирования на инцидент.
Согласно отчету Huntress, эта активность была зафиксирована в ходе расследования у клиента в начале 2026 года. В ней использовался старый драйвер EnCase forensic (от Guidance Software) в рамках техники Bring Your Own Vulnerable Driver (BYOVD) для завершения процессов Endpoint Detection and Response (EDR) из режима ядра.
Вторжение началось с компрометации учетных данных SonicWall SSL VPN, после чего злоумышленник провел внутреннюю разведку и развернул пользовательский бинарный файл «EDR killer».
«Атака была прервана до развертывания программы-вымогателя, но этот случай подчеркивает растущую тенденцию: злоумышленники используют подписанные легитимные драйверы, чтобы ослепить средства защиты конечных точек, — говорится в сообщении исследователей Huntress. — Сертификат драйвера EnCase истек в 2010 году и впоследствии был отозван, но Windows по-прежнему загружает его, что является пробелом в механизме принудительного применения подписи драйверов (Driver Signature Enforcement), которым продолжают пользоваться злоумышленники».
Microsoft не предоставила немедленного комментария по запросу CSO.
Злоупотребление BYOVD
По словам исследователей, в атаке использовалась распространенная техника злоупотребления легитимным подписанным драйвером, который уже имеет привилегии на уровне ядра. Это дало злоумышленникам прямой доступ с высокими привилегиями к ядру, фактически позволив им завершать практически любые процессы по своему усмотрению, включая средства безопасности.
Механизм принудительного применения подписи драйверов Windows (Driver Signature Enforcement), требующий, чтобы все драйверы режима ядра были подписаны в цифровом виде доверенным центром сертификации (CA), не проверяет списки отзыва сертификатов при загрузке ядра. Исследователи отметили, что это устаревшее поведение остается эксплуатируемым благодаря функциям обратной совместимости, введенным много лет назад, которые допускают исключение для драйверов, подписанных сертификатами, выданными до 29 июля 2015 года и привязанных к поддерживаемому кросс-подписанному CA.
Драйвер EnCase содержит временную метку от службы VeriSign, которую проверка подлинности по-прежнему считает действительной. «Когда код подписан с временной меткой, Windows проверяет подпись относительно времени создания подписи, а не текущей даты, — отметили исследователи. — Поскольку драйвер был помечен временной меткой, пока сертификат был действителен (до 31 января 2010 года), подпись остается действительной бессрочно, даже несмотря на то, что срок действия сертификата истек».
Попав в ядро, драйвер предоставляет интерфейс IOCTL, который позволяет вредоносному ПО завершать произвольные процессы с полными системными привилегиями. Среди предоставляемых функций — команды завершения процессов, которые обходят пользовательские механизмы защиты для процессов Protected Process Light (PPL), — защиты, на которые полагаются EDR-системы, чтобы избежать вмешательства.
Список уничтожения исключил Huntress
Бинарный файл EDR killer, использованный в атаке, наблюдавшейся Huntress, содержал 64-битный исполняемый файл Windows и пользовательскую зашифрованную полезную нагрузку драйвера ядра, которую он декодировал в OemHwUpd.sys и установил как службу режима ядра. Поскольку Windows по-прежнему признает его криптографическую подпись, злоумышленники смогли загрузить драйвер.
Как только уязвимый драйвер был помещен на диск, EDR killer составил внутренний список из 59 известных процессов инструментов безопасности, хешировал их имена и постоянно проверял их наличие в системе. «Цикл уничтожения выполняется непрерывно с интервалом ожидания в 1 секунду, гарантируя, что любой перезапускающийся процесс безопасности будет немедленно завершен снова», — заявили исследователи.
Кстати, Huntress сообщила, что ее агент не был включен в список уничтожения. «Хотя EDR killer нацелен почти на каждого крупного поставщика EDR и AV на рынке, агент Huntress не входил в число 59 процессов, подлежащих завершению», — добавили они. После записи драйвера на диск бинарный файл обеспечил себе устойчивость, зарегистрировавшись как служба ядра Windows.
Huntress рекомендовала включить Microsoft Vulnerable Driver Blocklist на всех поддерживаемых системах Windows, чтобы предотвратить загрузку известных уязвимых драйверов. Исследователи также посоветовали обеспечить строгий контроль доступа к службам удаленного доступа, включая многофакторную аутентификацию для VPN, таких как SonicWall, и внимательно отслеживать подозрительную активность при установке драйверов. Где это возможно, организациям также рекомендуется включить функции безопасности на основе виртуализации, такие как Hypervisor-protected Code Integrity (HVCI), для дальнейшего ограничения злоупотреблений в режиме ядра.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma