A finales de diciembre de 2022, Mandiant, Sophos y Sentinel One informaron de manera coordinada que varios controladores de kernel maliciosos habían sido firmados mediante diversas cuentas de desarrolladores de hardware de Microsoft, certificadas por el Programa de Desarrolladores de Hardware de Windows de la compañía. Estos perfiles se utilizaron en una serie de ciberataques, incluidos incidentes relacionados con ransomware. Como respuesta, Microsoft revocó varias cuentas de desarrolladores de hardware que habían sido objeto de abuso en estos ataques.
Se ha identificado que los afiliados de BlackCat emplean diversas técnicas durante la fase de evasión de defensas, lo cual debilita las protecciones al desactivar y modificar herramientas, o al utilizar tácticas como el arranque en modo seguro.
Este análisis arroja luz sobre una nueva capacidad que implica el uso de un controlador de kernel firmado para evadir defensas. Se tiene la creencia que este controlador de kernel es una versión mejorada que hereda la funcionalidad principal de ejemplos descubiertos en investigaciones previas. Dicho controlador se utilizó junto con un ejecutable de cliente de usuario separado, con el objetivo de controlar, pausar y eliminar diversos procesos en los puntos finales de destino relacionados con agentes de seguridad implementados en máquinas protegidas.
Los actores de amenazas emplean diversos enfoques para firmar sus controladores de kernel maliciosos: comúnmente, abusan de los portales de firma de Microsoft, utilizan certificados filtrados y robados, o recurren a servicios clandestinos. En este caso, los atacantes intentaron implementar un controlador anterior revelado por Mandiant, que está firmado a través de Microsoft. Dado que este controlador ya era conocido y detectable, los actores maliciosos optaron por implementar otro controlador de kernel firmado por un certificado de firma cruzada, el cual pudo haber sido robado o filtrado.
En un incidente de ransomware ocurrido en febrero de 2023, se evidenció que los operadores y sus afiliados buscan obtener acceso privilegiado a los sistemas de las víctimas para implementar los payloads de ransomware utilizadas en sus ataques. Los afiliados suelen emplear familias de ransomware con componentes de bajo nivel para eludir la detección de productos de seguridad, al momento de eliminar las cargas finales. El equipo de Trend Micro identificó que la mayoría de estas cargas de kernel se encuentran durante la fase de evasión de defensa.
Además, cabe destacar que las amenazas que más frecuentemente utilizan esta táctica son, en primer lugar, los grupos de actores de amenazas persistentes (APTs) especializados en propagar malware de espionaje. Estos grupos buscan infiltrarse en sistemas y robar información valiosa sin ser detectados. En segundo lugar, se encuentran los operadores de ransomware, que cifran los datos de las víctimas y exigen pagos para su recuperación. Estos actores también emplean tácticas sofisticadas para evadir las defensas de seguridad y maximizar el impacto de sus ataques. Otros tipos de amenazas, como los troyanos bancarios y el adware, también pueden recurrir a estas tácticas para mejorar su eficacia y evitar la detección por parte de soluciones de seguridad.
En resumen, es fundamental estar alerta ante estos diversos tipos de ciberamenazas y adoptar medidas de protección adecuadas para mantener la seguridad de los sistemas y la información.
Algunos ataques de ransomware intentan cumplir con los requisitos de firma de código de Microsoft. Esto brinda a los actores la flexibilidad de compilar módulos del kernel, especialmente diseñados, para tareas muy específicas (generalmente relacionadas con el deterioro de la defensa y la evasión) antes de descartar la carga final.
Los operadores de ransomware pueden hacer uno de los siguientes enfoques:
1. Utilice un certificado de firma de código que se filtró o fue robado de un entorno comprometido o se compró en el mercado negro.
2. Obtenga un nuevo certificado de firma de código válido haciéndose pasar por una entidad legítima y siguiendo el proceso de Microsoft para obtener el certificado de firma cruzada (cuando Microsoft todavía permitía la firma cruzada para el código de modo kernel), abusando del portal de Microsoft para emitir módulos de kernel firmados, y la compra de certificados de firma de código válidos y/o certificados de validación extendida (EV) que están vinculados a identidades reales de mercados clandestinos.
Para entender del como realizan este procedimiento, se examino un controlador firmado (ktgn.sys) utilizado en los ataques de BlackCat de febrero.
En resumen, el agente tjr.exe, que está protegido a través de una máquina virtual, coloca el controlador del kernel en el directorio temporal del usuario C:\%User%\AppData\Local\Temp\Ktgn.sys. Para luego instalar el controlador descartado con el nombre ktgn y el valor de inicio igual del Sistema.
Mientras tanto, el controlador ktgn.sys, que es firmado con una firma digital válida, actualmente revocada, de «BopSoft» (que también había sido utilizada anteriormente por otros actores de amenazas para la firma de código) se puede cargar con éxito en una instalación de Windows de 64 bits, donde las políticas de firma se hacen cumplir. El controlador se oculta con la herramienta Safengine Protector v2.4.0.0, que hace que las técnicas de análisis estático no sean fiables.
Al cargar el controlador ofuscado e intentar crear un cliente, en modo de usuario, para observar la interfaz IOCTL (En informática, ioctl es una llamada al sistema para operaciones de entrada/salida específicas del dispositivo y otras operaciones que no pueden expresarse mediante llamadas regulares al sistema) expuesta, se puede determinar la función de cada código IOCTL. Y finalmente, observamos que el mismo controlador de kernel estaba firmado por diferentes certificados.
| Código IOCTL | Descripción |
|---|---|
| 222088h | Activar controlador |
| 22208Ch | Desactivar controlador |
| 222094h | Proceso de matanza |
| 222184h | Borrar archivo |
| 222188h | Forzar eliminación de archivo |
| 22218Ch | Copiar archivo |
| 222190h | Forzar copia de archivo |
| 2221C8h | Registrar notificación de proceso/objeto de subproceso |
| 2221C4h | Cancelar notificación de proceso/objeto de subproceso |
| 222264h | Reiniciar el sistema |
Desde TrendMicro, han lanzado algunas recomendaciones que se podrían adoptar para evitar este tipo de ataques en las organizaciones que pudiera ser objetivos de Blackcat Ransomware, o de otros actores de amenazas en la región. Las recomendaciones son las siguientes:
- Hacer un inventario de los activos y los datos.
- Identificar dispositivos y software autorizados y no autorizados.
- Registros de incidentes y eventos de auditoría.
- Administrar configuraciones de hardware y software.
- Otorgue privilegios de administrador y acceda solo cuando sea necesario.
- Supervise los puertos, protocolos y servicios de la red.
- Establezca una lista de software permitido para aplicaciones legítimas.
- Implementar medidas de protección, copia de seguridad y recuperación de datos.
- Habilitar la autenticación multifactor (MFA).
- Implemente las últimas versiones de soluciones de seguridad en todas las capas del sistema.
- Esté atento a los primeros signos de un ataque.
IoC:
| Variantes de controlador (SHA256) | Nombre del firmante | Uso válido | Estado actual |
|---|---|---|---|
| 994e3f5dd082f5d82f9cc84108a60d359910ba79 | bopsoft | Firma de código | Revocado explícitamente por su emisor |
| f6793243ad20359d8be40d3accac168a15a327fb | YI ZENG | Firma de código | Revocado explícitamente por su emisor |
Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.
