Le groupe de rançongiciels ALPHV (alias BlackCat) a été observé en train d’utiliser des pilotes de noyau Windows malveillants signés pour échapper à la détection par les logiciels de sécurité lors d’attaques.
Le pilote vu par Trend Micro est une version améliorée du malware connu sous le nom de « POORTRY » que Microsoft, Mandiant, Sophos et SentinelOne ont repéré lors d’attaques de ransomware à la fin de l’année dernière.
Le logiciel malveillant POORTRY est un pilote du noyau Windows signé à l’aide de clés volées appartenant à des comptes légitimes du programme de développement de matériel Windows de Microsoft.
Ce pilote malveillant a été utilisé par le groupe de piratage UNC3944, également connu sous le nom de 0ktapus et Scattered Spider, pour mettre fin au logiciel de sécurité exécuté sur un appareil Windows afin d’échapper à la détection.
Bien que les logiciels de sécurité soient généralement protégés contre l’arrêt ou la falsification, comme les pilotes du noyau Windows s’exécutent avec les privilèges les plus élevés du système d’exploitation, ils peuvent être utilisés pour arrêter presque tous les processus.
Trend Micro affirme que les acteurs du rançongiciel ont tenté d’utiliser le pilote POORTRY signé par Microsoft, mais ses taux de détection étaient élevés suite à la publicité dont il a bénéficié et après la révocation des clés de signature de code.
Par conséquent, les pirates ont déployé une version mise à jour du pilote du noyau POORTRY signé à l’aide d’un certificat de signature croisée volé ou divulgué.
Le nouveau pilote utilisé par l’opération de rançongiciel BlackCat les aide à élever leurs privilèges sur les machines compromises, puis à arrêter les processus liés aux agents de sécurité.
De plus, cela peut fournir un lien lâche entre le gang de rançongiciels et les groupes de piratage UNC3944/Scattered Spider.
Le pilote malveillant du noyau Windows
Le pilote signé vu par Trend Micro lors des attaques BlackCat de février 2023 est « ktgn.sys », déposé sur le système de fichiers de la victime dans le dossier %Temp%, puis chargé par un programme en mode utilisateur nommé « tjr.exe ».
Les analystes disent que la signature numérique de ktgn.sys a été révoquée ; cependant, le pilote se chargera toujours sans problème sur les systèmes Windows 64 bits avec des stratégies de signature appliquées.
Le pilote de noyau malveillant expose une interface IOCTL qui permet au client en mode utilisateur, tjr.exe, d’émettre des commandes que le pilote exécutera avec les privilèges du noyau Windows.
« D’après notre analyse de ce qui se passe lorsqu’un utilisateur s’interface avec ce pilote, nous avons observé qu’il n’utilise qu’un seul des codes IOCTL (Device Input and Output Control) exposés – Kill Process, qui est utilisé pour tuer les processus d’agent de sécurité installés sur le système. « , explique le rapport de Trend Micro.
Les analystes de Trend Micro ont observé les commandes suivantes exposées qui peuvent être envoyées au pilote :
- Activer le conducteur
- Désactiver le pilote une fois que le client en mode utilisateur a terminé son opération
- Tuez tout processus en mode utilisateur
- Supprimer des chemins de fichiers spécifiques
- Forcer la suppression d’un fichier en libérant ses descripteurs et en mettant fin aux processus en cours d’exécution qui l’utilisent
- Copier des fichiers
- Forcer la copie de fichiers en utilisant un mécanisme similaire pour forcer la suppression
- Enregistrer les rappels de notification de processus/thread
- Annuler l’enregistrement des rappels de notification de processus/thread
- Redémarrez le système en appelant l’API ‘HalReturnToFirmware’
Trend Micro commente que les deux commandes utilisées pour les rappels de notification de processus/thread ne fonctionnent pas, ce qui indique que le pilote est actuellement en cours de développement ou encore en phase de test.
Il est recommandé aux administrateurs système d’utiliser les indicateurs de compromis partagés par Trend Micro et d’ajouter les pilotes malveillants utilisés par les acteurs du ransomware à la liste de blocage des pilotes Windows.
Les administrateurs Windows doivent également s’assurer que « Driver Signature Enforcement » est activé, ce qui bloque l’installation de tous les pilotes qui n’ont pas de signature numérique valide.