Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Red Hot Cyber Academy

L’underground vende sistemi per disabilitare gli EDR più famosi! LockBit nel mentre sta sfruttando il BYOVD?

Redazione RHC : 24 Gennaio 2024 17:46

E’ stato rilevato nella giornata di oggi, sul forum underground Exploit un post dove un criminale informatico mette in vendita una soluzione per disabilitare EDR best-in-class. Nello specifico il criminale informatico, chiamato LORD1, vende tale soluzione al prezzo di 7000 dollari.

Gli attacchi agli EDR basati su BYOVD

A giugno del 2023, un certo “Spyboy” vendeva una analoga soluzione di bypass di EDR al prezzo di 3000 dollari. L’autore forniva la soluzione per un solo EDR a 300 dollari, anche se non era possibile acquistare una versione per il solo bypass per SentinelOne, Sophos, CrowdStrike, Carbon Black, Cortex, Cylance in quanto occorreva l’acquisto della versione completa.

Spyboy affermava che Terminator era in grado di bypassare 24 diversi antivirus. Inoltre era possibile effettuare il bypass per soluzioni EDR (Endpoint Detection and Response) e XDR (Extended Detection and Response). Era incluso Windows Defender su dispositivi che eseguono Windows 7 e versioni successive.

Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)

  • Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    Lo strumento chiamato Terminator era distribuito sui forum di hacking in lingua russa. Il suo venditore, Spyboy, affermò che Terminator era in grado di bloccare qualsiasi piattaforma antivirus, XDR e EDR. Tuttavia, gli esperti di CrowdStrike analizzarono la soluzione, giungendo alla conclusione che, in effetti, Terminator non era altro che un attacco BYOVD.

    In tali attacchi, i driver legittimi vengono firmati con certificati validi e sono in grado di funzionare con i privilegi del kernel. Tali driver vengono rilasciati sui dispositivi delle vittime.

    Questo consente di disabilitare le soluzioni di sicurezza e alla fine assumere il controllo del sistema.

    Gli attacchi di LockBit e lo sfruttamento del BYOVD

    Poco fa è arrivata in redazione una mail proveniente dal ricercatore di sicurezza Lucian Alexandru Necula della ACS Data System S.p.A. Il ricercatore ha fornito una evidenza di un possibile sfruttamento attivo da parte di LockBit di un attacco BYOVD.

    Nelle analisi svolte da Alex, viene riportato che LockBit sta utilizzando un driver chiamato “RogueAntirootkit Driver vers. 3.3.0.0“. In particolare sta sfruttando un errore di tipo IOCTL 0x22e044 (Terminate Process) che non ha un controllo di accesso sufficiente.

    Correlando le due informazioni, il post su Exploit e la segnalazione del ricercatore di sicurezza su LockBit sembra plausibile un collegamento. Pertanto potrebbe essere che LockBit abbia acquistato tale soluzione che risulta ad oggi sotto sfruttamento attivo.

    Driver vulnerabile (fonte Lucian Alexandru Necula della ACS Data System S.p.A)
    Ciao ragazzi, in un recente attacco da parte del gruppo di ransomware Lockbit abbiamo trovato un altro driver vulnerabile che può terminare i prodotti EDR. 
    
    Per ora abbiamo individuato solo Lockbit che utilizza questo driver ma sicuramente nelle prossime settimane li utilizzeremo tutti insieme. Abbiamo trovato il driver in sfruttamento attivo e dopo una revisione siamo in grado di riprodurre la vulnerabilità, proviamo a usarlo contro 7 EDR e possiamo facilmente terminare i prodotti 6/7 EDR.
    
    Il driver è un RogueAntirootkit Driver vers. 3.3.0.0 e la vulnerabilità è presente in questo IOCTL 0x22e044 (Terminate Process) che non ha un controllo di accesso sufficiente.
    
    Incollo il link allo screenshot che ho fatto:
    
    Driver vulnerabile: https://postimg.cc/nshHNPDH
    IOCTL utilizzato: https://postimg.cc/jDXxgbCg
    Driver della firma: https://postimg.cc/kD0gDskc
    Driver di firma 2: https://postimg.cc/S2XmxYd3
    Termina il processo Windows Defender: https://postimg.cc/gwtYpHV3
    Il venditore è stato avvisato ieri.
    Ti condivido l'IOC utilizzato negli attacchi di LockBit
    
    Vulnerable Driver :
    SHA1:363068731e87bcee19ad5cb802e14f9248465d31
    SHA256 : bfc2ef3b404294fe2fa05a8b71c7f786b58519175b7202a69fe30f45e607ff1c
    Programma utilizzato per sfruttare il driver di vulnerabilità e terminare EDR:
    SHA1: 20600743fbea8a235445b56ea67cd0648ec4f68d
    SHA256: 74378330f34ac07ca9f7d452429797c325322e73685ab3f5f5267c39f5a848f1
    Disabilitazione di Windows Defender (fonte Lucian Alexandru Necula della ACS Data System S.p.A)

    Conclusioni

    La recente comparsa di un’offerta per disabilitare EDR di alto livello, divulgata da LORD1 sul forum Exploit, genera significative preoccupazioni per la sicurezza informatica. L’apparizione precedente di un tool simile chiamato Terminator, messo in vendita da Spyboy, aggiunge ulteriori interrogativi sulla persistenza e l’evoluzione di tali minacce.

    L’avviso fornito da Lucian Alexandru Necula, ricercatore di sicurezza, sulla possibile correlazione tra la soluzione in vendita su Exploit e l’utilizzo da parte di LockBit costituisce un campanello d’allarme significativo. Tuttavia, per valutare appieno l’entità di questa minaccia, sarà necessario attendere analisi approfondite da parte dei principali fornitori di soluzioni EDR.

    Roberto Beneduci CEO di Coretech ha detto recentemente: “sfruttare un Exploit che disabilita l’EDR non dovrebbe preoccupare a meno che non si faccia affidamento esclusivamente su di esso. Se un agent non è piú raggiungibile perchè è stato “neutralizzato”, La sua disconnessione dalla console EDR è già un segnale di allarme. In windows quando un servizio si ferma inaspettatamente viene generato un Id evento ad esempio 7031 . killare un processo di un Edr significa mandare in crash il servizio collegato e di conseguenza generare l’id evento. Il consiglio è di avere anche un RMM in grado di intercettare tali id evento. Nel caso nessun id evento venga generato si può fare in modo che il proprio RMM faccia periodicamente un check dei processi in esecuzione e se non trova quello dell’Edr invia un allarme. La sicurezza è da considerarsi un processo e non l’uso di una tecnologia specifica”.

    Solo attraverso un’analisi dettagliata sarà possibile determinare se la soluzione in questione corrisponde effettivamente ad una soluzione simile a Terminator o rappresenta un’altra forma di bypass EDR. In entrambi i casi, la collaborazione e la condivisione delle informazioni all’interno della comunità cybersecurity risultano fondamentali. Questo consente di comprendere e affrontare efficacemente questa nuova ondata di minacce informatiche, garantendo la sicurezza delle reti digitali a livello globale.

    Redazione
    La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

    Lista degli articoli

    Articoli in evidenza

    Buon World Password Day! Tra MIT, Hacker, Infostealer e MFA. Perchè sono così vulnerabili

    Domani celebreremo uno degli elementi più iconici – e al tempo stesso vulnerabili – della nostra vita digitale: la password. Da semplice chiave d’accesso inventata negli anni...

    Benvenuti su Mist Market: dove con un click compri droga, identità e banconote false

    Ci sono luoghi nel web dove la normalità cede il passo all’illecito, dove l’apparenza di un marketplace moderno e funzionale si trasforma in una vetrina globale per ogni tipo di rea...

    La Cina Accusa la NSA di aver usato Backdoor Native su Windows per hackerare i Giochi Asiatici

    Le backdoor come sappiamo sono ovunque e qualora presenti possono essere utilizzate sia da chi le ha richieste ma anche a vantaggio di chi le ha scoperte e questo potrebbe essere un caso emblematico s...

    WindTre comunica un DataBreach che ha coinvolto i sistemi dei rivenditori

    Il 25 febbraio 2025 WindTre ha rilevato un accesso non autorizzato ai sistemi informatici utilizzati dai propri rivenditori. L’intrusione, riconosciuta come un’azione malevola, è st...

    Non sono ancora chiari i motivi del grande blackout in Spagna e Portogallo

    Ancora non sono chiari i motivi che hanno causato un grave Blackout in Spagna e Portogallo nelle ultime ore. Vaste aree sono rimaste senza energia elettrica, scatenando un’ondata di speculazion...