เครื่องมือ EDR Killer ใช้ไดรเวอร์เคอร์เนลที่ลงนามแล้วจากซอฟต์แวร์นิติวิทยา

ผู้โจมตีกำลังใช้เครื่องมือ EDR killer ที่สามารถตรวจจับและปิดการทำงานของเครื่องมือรักษาความปลอดภัย 59 รายการ โดยอาศัยการละเมิดไดรเวอร์เคอร์เนล EnCase ‘EnPortv.sys’ ที่เคยถูกต้องแต่ถูกเพิกถอนไปนานแล้ว เทคนิคนี้เรียกว่า ‘Bring Your Own Vulnerable Driver’ (BYOVD) ซึ่งผู้โจมตีใช้ไดรเวอร์ที่มีช่องโหว่เพื่อเข้าถึงระดับเคอร์เนลและยุติกระบวนการของซอฟต์แวร์รักษาความปลอดภัย เพื่อเตรียมการสำหรับกิจกรรมแรนซัมแวร์

Severity: สูง

System Impact:

• ระบบปฏิบัติการ Windows
• เครื่องมือ Endpoint Detection and Response (EDR)
• ซอฟต์แวร์ Antivirus
• บริการ VPN เช่น SonicWall SSL VPN (หากไม่มี MFA)

Technical Attack Steps:

1. **การเข้าถึงเบื้องต้น**: ผู้โจมตีเจาะเครือข่ายโดยใช้ข้อมูลรับรอง SonicWall SSL VPN ที่ถูกบุกรุก และอาศัยการขาดการยืนยันตัวตนแบบหลายปัจจัย (MFA) สำหรับบัญชี VPN
2. **การสอดแนมภายใน**: หลังจากการเข้าสู่ระบบ ผู้โจมตีดำเนินการสอดแนมภายในอย่างจริงจัง รวมถึงการสแกน ICMP ping, การตรวจสอบชื่อ NetBIOS, กิจกรรมที่เกี่ยวข้องกับ SMB และ SYN flooding ที่เกิน 370 SYN/วินาที
3. **การปรับใช้ EDR Killer**: เครื่องมือ EDR killer ที่ถูกสร้างขึ้นมาเป็นพิเศษถูกปรับใช้และปลอมตัวเป็นยูทิลิตีอัปเดตเฟิร์มแวร์ที่ถูกต้อง
4. **การใช้ประโยชน์จากไดรเวอร์ (BYOVD)**: เครื่องมือนี้ใช้ประโยชน์จากไดรเวอร์เคอร์เนล EnCase ‘EnPortv.sys’ ซึ่งเป็นไดรเวอร์ที่ถูกต้องแต่ถูกเพิกถอนไปนานแล้ว แม้ว่าใบรับรองจะหมดอายุในปี 2010 แต่ระบบ Driver Signature Enforcement บน Windows ยังคงยอมรับได้เนื่องจากใบรับรองออกก่อนวันที่ 29 กรกฎาคม 2015
5. **การสร้างความคงทน**: ไดรเวอร์เคอร์เนลถูกติดตั้งและลงทะเบียนเป็นบริการฮาร์ดแวร์ OEM ปลอม เพื่อสร้างความคงทนบนระบบที่ทนทานต่อการรีบูต
6. **การยุติซอฟต์แวร์รักษาความปลอดภัย**: มัลแวร์ใช้ IOCTL interface ในโหมดเคอร์เนลของไดรเวอร์เพื่อยุติกระบวนการบริการของระบบรักษาความปลอดภัย 59 รายการที่เป็นเป้าหมาย ซึ่งสามารถหลีกเลี่ยงการป้องกันของ Windows เช่น Protected Process Light (PPL) ได้
7. **การวนลูปการปิดการทำงาน**: กระบวนการวนลูปการปิดการทำงานจะดำเนินการทุกวินาที เพื่อยุติกระบวนการที่ถูกรีสตาร์ททันที
8. **ความตั้งใจในการโจมตีแรนซัมแวร์**: แม้ว่าการโจมตีจะถูกหยุดก่อนที่จะมีการปรับใช้เพย์โหลดสุดท้าย แต่เชื่อว่าการบุกรุกนี้เกี่ยวข้องกับกิจกรรมแรนซัมแวร์

Recommendations:

Short Term:

• เปิดใช้งานการยืนยันตัวตนแบบหลายปัจจัย (MFA) สำหรับบริการเข้าถึงระยะไกลทั้งหมด โดยเฉพาะอย่างยิ่งสำหรับบัญชี VPN
• เฝ้าระวังบันทึก (logs) ของ VPN เพื่อตรวจหากิจกรรมที่น่าสงสัย หรือการเข้าถึงที่ไม่ได้รับอนุญาต
• ตรวจสอบบริการเคอร์เนลที่ปลอมตัวเป็นส่วนประกอบ OEM หรือฮาร์ดแวร์ ซึ่งอาจเป็นสัญญาณของการใช้ประโยชน์จากไดรเวอร์ที่มีช่องโหว่

Long Term:

• เปิดใช้งาน HVCI (Hypervisor-Protected Code Integrity) / Memory Integrity เพื่อบังคับใช้รายการบล็อกไดรเวอร์ที่มีช่องโหว่ของ Microsoft
• ปรับใช้กฎ WDAC (Windows Defender Application Control) และ ASR (Attack Surface Reduction) เพื่อบล็อกไดรเวอร์ที่มีลายเซ็นที่มีช่องโหว่
• ทบทวนและอัปเดตนโยบายความปลอดภัยเพื่อป้องกันการใช้ประโยชน์จากไดรเวอร์เก่าหรือที่ถูกเพิกถอน

Source: https://www.bleepingcomputer.com/news/security/edr-killer-tool-uses-signed-kernel-driver-from-forensic-software/