L’underground vende sistemi per disabilitare gli EDR più famosi! LockBit nel mentre sta sfruttando il BYOVD?

Redazione RHC : 24 Gennaio 2024 17:46

E’ stato rilevato nella giornata di oggi, sul forum underground Exploit un post dove un criminale informatico mette in vendita una soluzione per disabilitare EDR best-in-class. Nello specifico il criminale informatico, chiamato LORD1, vende tale soluzione al prezzo di 7000 dollari.

Gli attacchi agli EDR basati su BYOVD

A giugno del 2023, un certo “Spyboy” vendeva una analoga soluzione di bypass di EDR al prezzo di 3000 dollari. L’autore forniva la soluzione per un solo EDR a 300 dollari, anche se non era possibile acquistare una versione per il solo bypass per SentinelOne, Sophos, CrowdStrike, Carbon Black, Cortex, Cylance in quanto occorreva l’acquisto della versione completa.

Spyboy affermava che Terminator era in grado di bypassare 24 diversi antivirus. Inoltre era possibile effettuare il bypass per soluzioni EDR (Endpoint Detection and Response) e XDR (Extended Detection and Response). Era incluso Windows Defender su dispositivi che eseguono Windows 7 e versioni successive.

Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

Creare Un Sistema Ai Di Visual Object Tracking (Hands on)

Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake

Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?

Come Hackerare Un Sito WordPress (Hands on)

Il Cyberbullismo Tra Virtuale E Reale

Come Entrare Nel Dark Web In Sicurezza (Hands on)

Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Lo strumento chiamato Terminator era distribuito sui forum di hacking in lingua russa. Il suo venditore, Spyboy, affermò che Terminator era in grado di bloccare qualsiasi piattaforma antivirus, XDR e EDR. Tuttavia, gli esperti di CrowdStrike analizzarono la soluzione, giungendo alla conclusione che, in effetti, Terminator non era altro che un attacco BYOVD.

In tali attacchi, i driver legittimi vengono firmati con certificati validi e sono in grado di funzionare con i privilegi del kernel. Tali driver vengono rilasciati sui dispositivi delle vittime.

Questo consente di disabilitare le soluzioni di sicurezza e alla fine assumere il controllo del sistema.

Gli attacchi di LockBit e lo sfruttamento del BYOVD

Poco fa è arrivata in redazione una mail proveniente dal ricercatore di sicurezza Lucian Alexandru Necula della ACS Data System S.p.A. Il ricercatore ha fornito una evidenza di un possibile sfruttamento attivo da parte di LockBit di un attacco BYOVD.

Nelle analisi svolte da Alex, viene riportato che LockBit sta utilizzando un driver chiamato “RogueAntirootkit Driver vers. 3.3.0.0“. In particolare sta sfruttando un errore di tipo IOCTL 0x22e044 (Terminate Process) che non ha un controllo di accesso sufficiente.

Correlando le due informazioni, il post su Exploit e la segnalazione del ricercatore di sicurezza su LockBit sembra plausibile un collegamento. Pertanto potrebbe essere che LockBit abbia acquistato tale soluzione che risulta ad oggi sotto sfruttamento attivo.

Ciao ragazzi, in un recente attacco da parte del gruppo di ransomware Lockbit abbiamo trovato un altro driver vulnerabile che può terminare i prodotti EDR. 

Per ora abbiamo individuato solo Lockbit che utilizza questo driver ma sicuramente nelle prossime settimane li utilizzeremo tutti insieme. Abbiamo trovato il driver in sfruttamento attivo e dopo una revisione siamo in grado di riprodurre la vulnerabilità, proviamo a usarlo contro 7 EDR e possiamo facilmente terminare i prodotti 6/7 EDR.

Il driver è un RogueAntirootkit Driver vers. 3.3.0.0 e la vulnerabilità è presente in questo IOCTL 0x22e044 (Terminate Process) che non ha un controllo di accesso sufficiente.

Incollo il link allo screenshot che ho fatto:

Driver vulnerabile: https://postimg.cc/nshHNPDH
IOCTL utilizzato: https://postimg.cc/jDXxgbCg
Driver della firma: https://postimg.cc/kD0gDskc
Driver di firma 2: https://postimg.cc/S2XmxYd3
Termina il processo Windows Defender: https://postimg.cc/gwtYpHV3
Il venditore è stato avvisato ieri.
Ti condivido l'IOC utilizzato negli attacchi di LockBit

Vulnerable Driver :
SHA1:363068731e87bcee19ad5cb802e14f9248465d31
SHA256 : bfc2ef3b404294fe2fa05a8b71c7f786b58519175b7202a69fe30f45e607ff1c
Programma utilizzato per sfruttare il driver di vulnerabilità e terminare EDR:
SHA1: 20600743fbea8a235445b56ea67cd0648ec4f68d
SHA256: 74378330f34ac07ca9f7d452429797c325322e73685ab3f5f5267c39f5a848f1

Conclusioni

La recente comparsa di un’offerta per disabilitare EDR di alto livello, divulgata da LORD1 sul forum Exploit, genera significative preoccupazioni per la sicurezza informatica. L’apparizione precedente di un tool simile chiamato Terminator, messo in vendita da Spyboy, aggiunge ulteriori interrogativi sulla persistenza e l’evoluzione di tali minacce.

L’avviso fornito da Lucian Alexandru Necula, ricercatore di sicurezza, sulla possibile correlazione tra la soluzione in vendita su Exploit e l’utilizzo da parte di LockBit costituisce un campanello d’allarme significativo. Tuttavia, per valutare appieno l’entità di questa minaccia, sarà necessario attendere analisi approfondite da parte dei principali fornitori di soluzioni EDR.

Roberto Beneduci CEO di Coretech ha detto recentemente: “sfruttare un Exploit che disabilita l’EDR non dovrebbe preoccupare a meno che non si faccia affidamento esclusivamente su di esso. Se un agent non è piú raggiungibile perchè è stato “neutralizzato”, La sua disconnessione dalla console EDR è già un segnale di allarme. In windows quando un servizio si ferma inaspettatamente viene generato un Id evento ad esempio 7031 . killare un processo di un Edr significa mandare in crash il servizio collegato e di conseguenza generare l’id evento. Il consiglio è di avere anche un RMM in grado di intercettare tali id evento. Nel caso nessun id evento venga generato si può fare in modo che il proprio RMM faccia periodicamente un check dei processi in esecuzione e se non trova quello dell’Edr invia un allarme. La sicurezza è da considerarsi un processo e non l’uso di una tecnologia specifica”.

Solo attraverso un’analisi dettagliata sarà possibile determinare se la soluzione in questione corrisponde effettivamente ad una soluzione simile a Terminator o rappresenta un’altra forma di bypass EDR. In entrambi i casi, la collaborazione e la condivisione delle informazioni all’interno della comunità cybersecurity risultano fondamentali. Questo consente di comprendere e affrontare efficacemente questa nuova ondata di minacce informatiche, garantendo la sicurezza delle reti digitali a livello globale.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli