概括
Aon 的 Stroz Friedberg事件响应服务 (“Stroz Friedberg”)发现勒索软件攻击者利用一种称为“ Retrosigned Driver EDR Bypass ”的端点检测和响应 (“EDR”) 解决方案绕过技术来终止EDR并限制 EDR 遥测的可见性。该技术涉及加载使用过期代码签名证书签名的恶意驱动程序,然后在加载过程中操纵目标系统上的系统时间。加载后,该驱动程序用于终止正在运行的进程。
背景
驱动程序是允许操作系统与硬件设备通信的重要软件。它们充当系统与硬件之间的桥梁,确保打印机、显卡和网络适配器等外围设备正常运行。鉴于其关键作用,驱动程序在系统中以高权限运行,使其成为恶意利用的主要目标。
为了减轻与驱动程序安装相关的风险,Microsoft Windows 强制执行驱动程序签名流程。驱动程序签名涉及使用受信任机构颁发的加密证书来验证驱动程序代码未被篡改且来自合法来源。此过程确保只有授权的驱动程序才能安装,从而增加了一层安全性。但是,当攻击者找到绕过这些保护的方法时,就会为恶意驱动程序的加载打开大门,对系统完整性构成重大威胁。
由于内核驱动程序的特权性质及其滥用的可能性,从 Windows Vista 开始,Microsoft 实施了限制,要求驱动程序必须由受信任的软件开发人员签名,以防止加载未签名的驱动程序。这要求开发人员从证书颁发机构获取代码签名证书,以加密方式证明他们是正在加载的驱动程序的作者。从 Windows 10 1607 开始,Microsoft 收紧了这些要求,只允许加载由 Microsoft 签名的驱动程序。但是,为了确保向后兼容性,Microsoft 仍然允许在某些情况下加载内核模式驱动程序,包括如果驱动程序是使用“2015 年 7 月 29 日之前颁发的链接到受支持的交叉签名 CA 的最终实体证书”签名的。
这些限制,加上整个行业中 EDR 的部署日益增多,导致威胁行为者开始探索另一种攻击方式,即“自带易受攻击的驱动程序”或“BYOVD”,其中威胁行为者会利用合法签名的驱动程序中的漏洞来获取内核级访问权限。然后可以使用此访问权限来终止 EDR 等进程。Stroz Friedberg 之前曾在此处撰写过有关此技术的文章-https://cyber.aon.com/aon_cyber_labs/yours-truly-signed-av-driver-weaponizing-an-antivirus-driver/。Microsoft 通过创建易受攻击的驱动程序阻止列表来解决这个问题,该列表阻止加载已知的易受攻击的驱动程序。
Cisco Talos 之前曾记录过一种技术-https://blog.talosintelligence.com/old-certificate-new-signature,威胁行为者伪造证书有效期,以使过期的交叉签名代码证书在签名过程中看起来有效。Stroz Friedberg 观察到的 Retrosigned Driver 技术采用了一种独特的方法,依赖于操纵目标系统上的证书有效性时间检查,而不是操纵签名过程。然而,这两种技术都利用 Windows 中的相同架构决策来信任 2015 年之前的第三方证书的交叉签名代码,并产生类似的影响。
Retrosigned 驱动程序 EDR 绕过
Retrosigned Drivers 扩展了以前的技术,通过修改目标系统上的系统时钟来加载由历史上被盗用的过期交叉签名证书签名的恶意内核驱动程序。Stroz Friedberg 观察到了以下 Retrosigned Driver 攻击模式:
停止 Windows 时间服务以防止通过 Active Directory 域服务进行时间同步。
net stop w32time&w32tm/unregister
设置证书有效期内的日期
例如:powershell -command Set-Date -Date "6/23/2015"
执行加载由 2015 年 7 月 29 日之前有效的证书签名的驱动程序的恶意软件。
使用新加载的驱动程序终止 EDR 进程。
Stroz Friedberg 分析了恢复的样本,并确认它能够成功加载驱动程序并终止目标 EDR,但只有当系统时间更改为驱动程序有效期内的某个时间段时才会发生这种情况。Stroz Friedberg 在部署了 Medusa 和 Abysslocker 勒索软件变体的威胁行为者的几次交战中都观察到了类似的样本。
恢复的样本的代码与之前已知的 POORTRY 和 STONESTOP 恶意软件样本有重叠。之前识别这些恶意软件家族时,它们是使用 Microsoft 硬件兼容性计划证书(而不是过期的签名证书)进行签名的。
Stroz Friedberg 向目标 EDR 供应商报告了他们的发现,并向 Microsoft 提供了恶意驱动程序和相关证书以及该技术的描述。Stroz Friedberg 在披露后 60 天内发布了这篇文章。
检测机制
时间变化
内核通用事件 ID 1:时间已改变。
安全事件 ID 4616:时间已更改。
MFT 记录顺序混乱。
系统事件 7034 – EDR 服务意外终止。
系统事件 7045 – 恶意驱动程序的服务安装。
系统注册表项更新 ROOT\ControlSet001\Services\[恶意驱动程序]。
Sysmon 事件 ID 11 –创建恶意 .sys 驱动程序文件。
PowerShell 命令执行:日期更改。
PowerShell 命令执行:停止时间服务。
接触
如果您怀疑自己受到了攻击或需要帮助评估攻击,请致电我们的事件响应热线。如果您来自执法机构或端点检测和响应供应商并希望了解更多详细信息,请联系 Aon Cyber Solutions。
感谢您抽出
.
.
来阅读本文
点它,分享点赞在看都在这里
