Grupo de ransomware ALPHV (también conocido como BlackCat) ha sido observado utilizando controladores maliciosos firmados del kernel de Windows para evadir la detección por parte de software de seguridad durante los ataques. El controlador detectado por Trend Micro es una versión mejorada del malware conocido como 'POORTRY', que Microsoft, Mandiant, Sophos y SentinelOne identificaron en ataques de ransomware a finales del año pasado. |
El malware POORTRY es un controlador malicioso del kernel de Windows firmado utilizando claves robadas pertenecientes a cuentas legítimas en el Programa de Desarrolladores de Hardware de Windows de Microsoft.
Este controlador malicioso fue utilizado por el grupo de hackers UNC3944, también conocido como 0ktapus y Scattered Spider, para terminar el software de seguridad en ejecución en un dispositivo Windows y evadir la detección.
Aunque el software de seguridad generalmente está protegido para evitar su terminación o manipulación, los controladores del kernel de Windows se ejecutan con los mayores privilegios en el sistema operativo, lo que les permite terminar casi cualquier proceso.
Trend Micro afirma que los actores del ransomware intentaron utilizar el controlador POORTRY firmado por Microsoft, pero su tasa de detección era alta después de la publicidad que recibió y después de que se revocaran las claves de firma de código.
Por lo tanto, los hackers desplegaron una versión actualizada del controlador del kernel POORTRY firmado utilizando un certificado de firma cruzada robado o filtrado.
El nuevo controlador utilizado por la operación de ransomware BlackCat les ayuda a elevar sus privilegios en las máquinas comprometidas y luego detener los procesos relacionados con los agentes de seguridad.
Además, puede establecer una conexión entre el grupo de ransomware y los grupos de hackers UNC3944/Scattered Spider.
El controlador malicioso del kernel de Windows
El controlador firmado detectado por Trend Micro en los ataques de BlackCat de febrero de 2023 se llama 'ktgn.sys' y se deposita en el sistema de archivos de la víctima en la carpeta %Temp%, y luego se carga mediante un programa en modo de usuario llamado 'tjr.exe'.
Los analistas indican que la firma digital de ktgn.sys ha sido revocada; sin embargo, el controlador seguirá cargándose sin problemas en sistemas Windows de 64 bits con políticas de firma reforzadas.
El controlador del kernel malicioso expone una interfaz IOCTL que permite al cliente en modo de usuario, tjr.exe, emitir comandos que el controlador ejecutará con privilegios del kernel de Windows.
"En base a nuestro análisis de lo que ocurre cuando un usuario interactúa con este controlador, observamos que solo utiliza uno de los códigos IOCTL expuestos — Kill Process, que se utiliza para terminar procesos de agentes de seguridad instalados en el sistema", explica el informe de Trend Micro.
Los analistas de Trend Micro observaron los siguientes comandos expuestos que pueden emitirse al controlador:
- Activar el controlador.
- Desactivar el controlador después de que el cliente en modo de usuario finalice su operación.
- Terminar cualquier proceso en modo de usuario.
- Eliminar rutas de archivos específicas.
- Forzar la eliminación de un archivo liberando sus controladores y terminando los procesos en ejecución que lo utilizan.
- Copiar archivos.
- Forzar la copia de archivos utilizando un mecanismo similar al de la eliminación forzada.
- Registrar notificaciones de procesos/hilos.
- Anular el registro de notificaciones de procesos/hilos.
- Reiniciar el sistema llamando a la API 'HalReturnToFirmware'.
Trend Micro señala que los dos comandos utilizados para las notificaciones de procesos/hilos no están funcionando, lo que indica que el controlador aún está en desarrollo o en fase de pruebas.
Se recomienda a los administradores del sistema utilizar los indicadores de compromiso compartidos por Trend Micro y agregar los controladores maliciosos utilizados por los actores del ransomware a la lista de bloqueo de controladores de Windows.
Los administradores de Windows también deben asegurarse de que la "Ejecución de firma de controladores" esté habilitada, lo que impide la instalación de controladores que no tengan una firma digital válida.