Posté le mai 22, 2023 à 8:04
UN RAPPORT MONTRE QUE LES HACKERS DE BLACKCAT UTILISENT DES PILOTES DE NOYAU WINDOWS POUR ÉVITER D’ÊTRE DÉTECTÉS
Le groupe de ransomware ALPHV, également connu sous le nom de BlackCat, a été détecté en train d’utiliser des pilotes de noyau Windows malveillants signés. Ces pilotes ont été utilisés par le groupe de ransomware pour éviter d’être détectés par les logiciels de sécurité lors de leurs attaques.
Le groupe de ransomware ALPHV utilise des pilotes de noyau Windows malveillants
Le pilote de noyau utilisé pour mener ces attaques a été détecté par Trend Micro. Ce pilote est une version améliorée d’un logiciel malveillant connu sous le nom de « POORTRY ». Vers la fin de l’année dernière, Microsoft, Mandiant, SentinelOne et Sophos ont déclaré avoir détecté le logiciel malveillant POORTRY.
Le logiciel malveillant POORTRY fonctionne à l’aide d’un pilote de noyau Windows signé. Cependant, ce pilote a été signé à l’aide de clés volées appartenant à des comptes légitimes dans le cadre du Hardware Developer Program de Microsoft Windows.
Le pilote malveillant en question a aussi été utilisé par un groupe de hackers connu sous le nom de UNC3944. Le groupe de hackers est également connu sous le nom d’oktapus ou Scattered Spider, et il a utilisé le pilote pour éviter d’être détecté par les logiciels de sécurité installés sur un appareil Windows.
Les logiciels de sécurité sont généralement protégés contre les manipulations. Cependant, les hackers ont pu y mettre fin car les pilotes du noyau Windows fonctionnent en utilisant les niveaux de privilèges les plus élevés au sein du système d’exploitation, et ils peuvent arrêter presque tous les processus.
Le rapport de TrendMicro indique que le groupe de ransomware a par ailleurs essayé d’utiliser le pilote POORTRY signé par Microsoft, mais qu’il a été détecté par les systèmes de sécurité en raison de la révocation de ses clés de signature de code. Les hackers ont aussi eu recours à une mise à jour du pilote de noyau POORTRY signée à l’aide d’un certificat de signature croisée acquis frauduleusement.
Le pilote de noyau Windows malveillant utilisé par ce groupe de ransomware leur permet d’éviter d’être détectés. Il a également augmenté ses capacités, puisqu’il peut arrêter les processus de sécurité des logiciels.
Les hackers exploitent un pilote de noyau Windows malveillant
Le pilote de noyau Windows signé détecté par TrendMicro au début de cette année est « ktgn.sys ». Le pilote est installé dans le système de fichiers de l’appareil cible, puis exécuté à l’aide d’un programme en mode utilisateur connu sous le nom de « tjr.exe ».
Selon les analystes, la signature d’authentification pour ktgn.sys a été révoquée, mais le pilote continuera à fonctionner sur les systèmes Windows 64 bits qui sont dotés d’un niveau plus élevé de politiques de signature.
Le pilote de noyau malveillant expose en outre une interface IOCTL dans laquelle le client en mode utilisateur nommé tjr.exe est utilisé pour émettre des commandes qui sont exécutées en utilisant les privilèges disponibles sur le pilote de noyau Windows.
TrendMicro a également déclaré que « d’après notre analyse de ce qui se produit lorsqu’un utilisateur utilise ce pilote, nous avons observé qu’il n’utilise qu’un seul des codes IOCTL (Device Input and Output Control) exposés – Kill Process – qui est utilisé pour se débarrasser des processus d’un agent de sécurité qui ont été installés sur un système ».
TrendMicro a aussi indiqué que les deux commandes utilisées pour les rappels de notification de processus/thread ne sont pas authentiques, ce qui montre que le pilote est toujours en cours de développement ou qu’il se trouve dans la phase de test. Il incombe aux administrateurs système d’utiliser des indicateurs pour détecter tout signe de compromission.
