可繞過1000多個EDR產品！勒索軟體BlackByte使用「自帶驅動程式」技術

Sophos宣布勒索軟體BlackByte 使用了一項複雜的「自帶驅動程式」技術，用以繞過 1,000 個業界端點偵測和回應 (EDR) 產品使用驅動程式。Sophos 在《刪除所有回呼─BlackByte 勒索軟體透過濫用 RTCore64.sys 停用 EDR》報告中詳細介紹了它的攻擊策略、技術和程序 (TTP)。

BlackByte 在今年稍早被美國特勤局和 FBI 列為對關鍵基礎設施的威脅，短暫消失後於 5 月捲土重來，伴隨著新的資料外洩網站和新的勒索手法。現在，看來該組織也採用了新的攻擊方法。具體來說，BlackByte 一直是濫用 Windows 系統的圖形公用程式驅動程式 RTCorec6.sys 中的一個漏洞。這個特定的漏洞讓他們可以直接與目標系統的核心通訊，命令系統停用 EDR 供應商及 ETW (Windows 事件追蹤) Microsoft-Windows-Threat-Intelligence-Provider 使用的回呼常式。EDR 廠商經常使用這個功能來監控常見被惡意濫用的 API 呼叫；一旦被停用，則依賴此功能的 EDR 廠商將無計可施。

Sophos 威脅研究資深經理 Christopher Budd 表示：「如果您將電腦視為堡壘，那麼對於許多 EDR 廠商而言，ETW 就是大門的守衛。如果守衛倒下，那麼系統的其餘部分就會變得非常脆弱。而且，由於 ETW 廣為許多不同的廠商使用，所以一旦使用 EDR 繞過，BlackByte 可以攻擊的目標就會非常多。」

BlackByte 並不是唯一一個利用「自帶驅動程式」繞過安全產品的勒索軟體。AvosLocker 同樣在 5 月 時濫用不同驅動程式中的漏洞來停用防毒解決方案。

Budd 說：「有趣的是，就我們在這個領域所看到的，EDR 繞過似乎正成為勒索軟體威脅團體間一項很熱門的技術。這並不奇怪，因為威脅行為者通常會利用「進攻性安全」(保護電腦、網路和個人免受攻擊的主動和對抗性方法) 業界開發的工具和技術，以求更快、更輕鬆地發起攻擊。事實上，BlackByte 似乎至少從開源工具 EDRSandblast 中取用了部分 EDR 繞過的方法。

「由於犯罪分子會利用進攻性安全業界的成果，因此防禦人員必須在這些技術廣為網路犯罪分子使用之前時時監控新的規避和入侵技術，並採取防護措施。」