استفاده حملات باج افزاری BlackCat از درایورهای مخرب کرنل ویندوز

بر اساس مشاهدات، گروه باج افزار ALPHV (معروف به BlackCat) برای فرار از شناسایی توسط نرم‌افزار امنیتی در طول حملات خود، از درایوهای مخرب هسته ویندوز استفاده می‌کرد.

طبق بررسی‌های صورت گرفته بر روی درایوهای مخرب، یک نسخه بهبودیافته بدافزاری به نام “POORTRY” بوده که در اواخر سال گذشته توسط شرکت‌های Mandiant، Sophos و SentinelOne در حملات باج افزاری مشاهده‌شده است.

بدافزار POORTRY یک درایور هسته ویندوز است که با استفاده از کلیدهای سرقت شده متعلق به اکانت های قانونی در برنامه توسعه سخت‌افزار ویندوز مایکروسافت امضاشده است.

این درایور مخرب توسط گروه هکری UNC3944 بانام‌های ktapus و Scattered Spider برای فرار از شناسایی و خاتمه دادن به نرم‌افزار امنیتی در حال اجرا روی یک ویندوز نیز استفاده‌شده بود.

درحالی‌که نرم‌افزارهای امنیتی معمولاً از خاتمه یا دست‌کاری محافظت می‌شوند، زیرا درایورهای هسته ویندوز با بالاترین امتیازات در سیستم‌عامل اجرا می‌شوند، و می‌توان از آن‌ها برای پایان دادن به تقریباً هر فرآیندی استفاده کرد.

محققان می‌گوید: مهاجمان باج افزار سعی کردند از درایور POORTRY امضاشده توسط مایکروسافت استفاده کنند، اما نرخ شناسایی آنان پس از اخبار منتشرشده و لغو کلیدهای امضا بالا رفت.

ازاین‌رو، هکرها یک نسخه به‌روز شده از درایور هسته POORTRY را در حملات خود استفاده می‌کنند.

نسخه جدید مورداستفاده‌ای که توسط عملیات باج افزار BlackCat استفاده می‌شود به آن‌ها کمک می‌کند مجوزهای خود را در سیستم‌های در معرض خطر افزایش دهند و سپس فرآیندهای مربوط به عوامل امنیتی را متوقف کنند.

علاوه بر این، ممکن است یک پیوند ضعیف بین باج افزار و گروه‌های هک UNC3944/Scattered Spider ایجاد کند.

درایور هسته مخرب ویندوز

درایور امضاشده‌ای که Trend Micro در حملات BlackCat فوریه ۲۰۲۳ شناسایی کرد، “ktgn.sys” است که در فایل سیستم قربانی در پوشه %Temp% گذاشته‌شده و سپس توسط یک برنامه حالت کاربر به نام “tjr.exe” بارگذاری می‌شود.

تحلیلگران می‌گویند که امضای دیجیتال ktgn.sys لغو شده است. بااین‌حال، درایور همچنان بدون مشکل در سیستم‌های ویندوز ۶۴ بیتی با پالیسی های امضای اجباری بارگذاری می‌شود.

درایور هسته مخرب یک رابط IOCTL را نشان می‌دهد که به سرویس‌گیرنده حالت کاربر، tjr.exe اجازه می‌دهد تا دستوراتی را صادر کند که درایور با امتیازات هسته ویندوز اجرا می‌کند.

ا در مورد آنچه که در ارتباط با مواجهه کاربر با این درایور نشان می‌دهد، این است که این درایور فقط از یکی از کدهای در معرض نمایش ورودی و خروجی دستگاه (IOCTL) – Kill Process استفاده می‌کند که برای از بین بردن فرآیندهای ایجنت امنیتی نصب‌شده در سیستم استفاده می‌شود.

تحلیلگران Trend Micro دستورات زیر را مشاهده کردند که می‌توانند در ارتباط با درایور صادر شوند:

فعال‌سازی درایور

غیر فعال‌سازی درایور پس از اتمام فعالیت

بستن پروسس های حالت کاربر

حذف مسیرهای فایل خاص

حذف اجباری یک فایل با آزاد کردن دسته‌های آن و پایان دادن به فرآیندهای در حال اجرا با استفاده از آن

کپی فایل‌ها

کپی اجباری فایل‌ها با استفاده از مکانیزم مشابه حذف اجباری

رجیستر کردن فراخوان‌های اعلان Process/Thread

لغورجیستر فراخوان‌های اعلان Process/Thread

راه‌اندازی مجدد سیستم با فراخوانی API ‘HalReturnToFirmware‘

گزارش‌ها نشان می‌دهند که دو دستور مورداستفاده برای فراخوانی Process/Thread Notification کار نمی‌کنند و این نشان می‌دهد که درایور در حال حاضر درحال‌توسعه است یا هنوز در مرحله آزمایش است.

به مدیران سیستم توصیه می‌شود از محصولاتی که قابلیت بررسی IOC ها رادارند استفاده نمایند و درایورهای مخرب مورداستفاده بازیگران باج افزار را به لیست سیاه درایورهای ویندوز اضافه کنند.

مدیران ویندوز همچنین باید اطمینان حاصل کنند که «Driver Signature Enforcement» فعال است، که نصب درایورهایی را که دارای امضای دیجیتال معتبر نیستند مسدود می‌کند.