Исследователи ESET подробно изучили проблему злоупотребления уязвимыми драйверами ядра. Уязвимости в подписанных драйверах в основном используются разработчиками игровых читов для обхода античитерских механизмов, но они также были использованы в атаках несколькими APT-группами и в распространенных вредоносных программах.
Среди различных типов драйверов ядра (центрального компонента операционной системы Windows) есть «программные» драйверы, которые предоставляют специфические, не связанные с аппаратным обеспечением функции - такие как отладка и диагностика программного обеспечения, анализ системы и т.д. Такие драйвера могут существенно расширять возможности для проведения кибератак.
Хотя прямая загрузка вредоносного неподписанного драйвера уже невозможна в новых версиях Windows, а руткиты уровня ядра считаются ушедшими в прошлое, все еще существуют способы загрузки вредоносного кода в ядро системы, особенно путем использования легитимных подписанных драйверов. Действительно, существует множество драйверов от различных производителей оборудования и программного обеспечения, которые предлагают функционал полного доступа к ядру ОС с минимальными усилиями.
Уязвимости, наиболее часто встречающиеся в драйверах ядра.
- Невозможность добавления проверок, ограничивающих доступ на чтение и запись к критическим регистрам, специфичным для конкретной модели (MSR).
- Раскрытие возможности отображения физической памяти из пользовательского режима для чтения и записи.
- Возможность доступа к виртуальной памяти ядра из пользовательского режима для чтения и записи.
«Когда операторам вредоносного ПО необходимо запустить вредоносный код в ядре Windows на системах x64 с установленным контролем подписи драйверов, внедрение уязвимого подписанного драйвера ядра представляется приемлемым вариантом. Эта техника известна как «Bring Your Own Vulnerable Driver» - сокращенно BYOVD - и была замечена в использовании как продвинутыми хакерскими группировками так и в распространенном вредоносном ПО» - объясняет Питер Калнай, старший исследователь вредоносного ПО в ESET и один из соисполнителей данного исследования.
Примерами использующих технику BYOVD злоумышленников является группа Slingshot, которая реализовала свой основной модуль под названием Cahnadr в виде драйвера режима ядра, который может быть загружен уязвимыми подписанными драйверами ядра. Другим примером является группа InvisiMole, данные о которой были опубликованы исследователями в 2018 году. Новый вариант вредоносной программы InvisiMole - единственный на сегодняшний день зафиксированный ESET случай эксплуатации MSR на системах Windows 10 x64, используемый злоумышленниками в реальных атаках.
Еще один пример - шифровальщик RobbinHood, которая, будучи распространенным вредоносным ПО, стремится охватить как можно больше жертв. Таким образом, использование техники BYOVD является редкой, но мощной тактикой. Этот вредонос использует уязвимый драйвер материнской платы GIGABYTE для отключения проверки подписи драйверов и установки собственного вредоносного драйвера. Наконец, LoJax - еще одно открытие ESET в 2018 году и первый в истории руткит UEFI, используемый в реальных атаках - использовал драйвер RWEverything для получения доступа к модулям UEFI жертв.
Исследователи не только каталогизировали существующие уязвимости, но и выявили новые - полный список обнаруженных уязвимостей можно найти в блоге компании. Поставщики, с которыми удалось связаться, были очень активны в процессе раскрытия информации и стремились устранить обнаруженные уязвимости.
«Хотя существует несколько механизмов, используемых процессором и/или операционной системой, большинство из них можно обойти с помощью некоторых хитрых приемов, и они не очень эффективны, если злоумышленник готов к ним заранее» - заявил Калнаи.
Полезные методы снижения рисков.
- Безопасность на основе виртуализации: Это представленная в Windows 10 функция, которая использует аппаратную виртуализацию для помещения ядра в «песочницу», тем самым защищая операционную систему.
- Отзыв сертификатов: В современных системах Windows драйверы должны иметь действительную подпись, основанную на «приемлемом» сертификате. Следовательно, отзыв сертификата уязвимого драйвера - это простой способ обезвредить его и сделать бесполезным в большинстве случаев.
- Блокирование драйверов: Это практика, принятая как Microsoft, так и различными сторонними производителями продуктов безопасности, включая ESET, для обнаружения и удаления наиболее известных уязвимых драйверов при обнаружении их в системе.
Источник: https://www.helpnetsecurity.com
