Analistas de Sophos encontraron recientemente un nuevo EDR killer desplegado por un grupo criminal que intentaba atacar a una organización con un Ransomware llamado RansomHub.
Aunque el ataque finalmente no tuvo éxito, el análisis reveló la existencia de una nueva herramienta —llamada EDRKillShifter— diseñada para acabar con el software de protección de endpoints.
Desde 2022, se ha visto un aumento de la sofisticación del malware diseñado para desactivar los sistemas EDR en un sistema infectado, a medida que los clientes adoptan cada vez más herramientas EDR para proteger los endpoints. Sophos publicó anteriormente una investigación sobre AuKill, un EDR killer que Sophos X-Ops descubrió el año pasado y que se vendía en mercados ilegales.
Durante el incidente de mayo, los actores de la amenaza (Sophos estima con una confianza moderada que esta herramienta está siendo usada por múltiples atacantes) intentaron utilizar EDRKillShifter para desactivar la protección de Sophos en el ordenador objetivo, pero la herramienta falló.
A continuación, intentaron avanzar con el ejecutable del Ransomware en la máquina que controlaban, pero también falló al activarse la función CryptoGuard del agente de endpoints.
Cómo funciona EDRKillShifter
La herramienta EDRKillShifter es un ejecutable “cargador”, un mecanismo de entrega para un controlador legítimo que es vulnerable al abuso (también conocido como herramienta “trae tu propio controlador vulnerable” o BYOVD). Dependiendo de los requisitos del actor de la amenaza, puede entregar una variedad de cargas útiles de controladores diferentes.
El proceso de ejecución de este cargador consta de tres pasos. El atacante debe ejecutar EDRKillShifter con una línea de comandos que incluya una cadena de contraseña. Cuando se ejecuta con la contraseña correcta, el ejecutable descifra un recurso incrustado llamado BIN y lo ejecuta en la memoria.
El código BIN desempaqueta y ejecuta la carga útil final. Esta carga útil final, escrita en el lenguaje de programación Go, suelta y explota uno de una variedad de diferentes controladores legítimos vulnerables para obtener privilegios suficientes para desactivar la protección de una herramienta EDR.
Mitigación y consejos
Sophos detecta actualmente EDRKillShifter como Troj/KillAV-KG. Además, las reglas de protección de comportamiento que protegen contra la evasión de defensas y la escalada de privilegios bloquean el paso de estas llamadas al sistema. Las empresas y los particulares también pueden tomar medidas adicionales para defender sus máquinas contra el abuso de controladores:
Sophos X-Ops recomienda comprobar si el producto de seguridad para endpoints implementa y activa la protección contra manipulaciones. Esta función proporciona una capa sólida contra este tipo de ataques. Para usuarios de productos de Sophos que no tienen activada la protección antimanipulación, la marca recomienda activarla cuanto antes.
Otra sugerencia es practicar una higiene estricta de las funciones de seguridad de Windows. Este ataque solo es posible si el atacante escala los privilegios que controla, o si puede obtener derechos de administrador. La separación entre privilegios de usuario y de administrador puede ayudar a evitar que los atacantes carguen fácilmente los controladores.
También es necesario mantener el sistema actualizado. Desde el año pasado, Microsoft ha empezado a impulsar actualizaciones que descertifican los controladores firmados de los que se sabe que se ha abusado en el pasado.