Gli attacchi recenti identificati sono stati collegati allo sfruttamento della vulnerabilità legata all’escalation dei privilegi e all’esecuzione di codice CVE-2019-16098 in alcune versioni del driver di sistema di MSI Afterburner RTCore64.
Il funzionamento ha consentito a BlackByte di disabilitare i driver che impediscono il corretto funzionamento dell’EDR, nonché le soluzioni antivirus.
BYOVD è efficace perché i driver interessati sono firmati con un certificato valido ed eseguiti su un sistema con privilegi elevati.
Lazarus ha agito in modo simile, di recente, abusando del driver Dell, così come anche attori sconosciuti che hanno utilizzato il driver anti-cheat per il gioco Genshin Impact.
I ricercatori spiegano che il driver grafico MSI utilizzato in modo improprio offre codici di controllo I/O direttamente accessibili ai processi in modalità utente, il che viola le regole di sicurezza Microsoft relative all’accesso alla memoria del kernel.
Ciò consente agli aggressori di leggere, scrivere o eseguire codice nella memoria del kernel senza utilizzare shellcode o exploit.
Nella prima fase dell’attacco, BlackByte identifica la versione del kernel in modo da selezionare gli offset corretti che corrispondano all’ID del kernel. RTCore64.sys viene quindi inserito in “AppData\Roaming” e crea il servizio utilizzando un nome hardcoded e un nome visualizzato scelto casualmente.
Gli aggressori utilizzano quindi la vulnerabilità del driver per rimuovere le routine di notifica del kernel che corrispondono ai processi dello strumento di sicurezza.
Gli indirizzi di richiamata risultanti vengono utilizzati per ottenere il nome del driver corrispondente e confrontati con un elenco di 1000 driver di destinazione che supportano la funzione degli strumenti AV/EDR.
Eventuali corrispondenze trovate in questa fase vengono rimosse sovrascrivendo con zeri l’elemento contenente l’indirizzo della funzione di callback, quindi il driver di destinazione viene invalidato.
Sophos ritiene inoltre che BlackByte utilizzi questi attacchi per cercare segni di un debugger in esecuzione sul sistema di destinazione e chiuderlo.
Il malware BlackByte controlla l’elenco delle DLL utilizzate da Avast, Sandboxie, Windows DbgHelp Library e Comodo Internet Security e termina la sua attività se viene trovata una corrispondenza.
Per evidenziare alcuni punti di suggerimento, offerti alle aziende, da questa ricerca, gli amministratori di sistema possono proteggersi dal nuovo bypass di sicurezza di BlackByte aggiungendo uno specifico driver MSI alla blacklist attiva.
Inoltre dovrebbero monitorare tutti gli eventi di installazione dei driver e controllarli frequentemente per trovare implementazioni non autorizzate che non corrispondono all’hardware effettivamente utilizzato.