Utpressare kringgår drivrutiner med sofistikerad teknik
Hem Teknik Utpressare kringgår drivrutiner med en sofistikerad teknik

Utpressare kringgår drivrutiner med en sofistikerad teknik

Publicerat av: Redaktionen

Ransomware-gänget BlackByte har börjat använda en sofistikerad ”Bring your own driver”-teknik för att kringgå mer än tusen drivrutiner som används i tjänster för så kallad Endpoint Detection and Response (EDR).

Tidigare i år pekade FBI ut BlackByte som ett hot mot kritisk infrastruktur.

Utpressare kringgår drivrutiner med sofistikerad teknikEfter ett kort uppehåll återupptog BlackByte i maj sin verksamhet och nu tycks det som om gruppen lagt till nya attackmetoder.

I en ny rapport beskriver IT-säkerhetsföretaget Sophos hur BlackByte utnyttjat en sårbarhet i RTCorec6.sys, en drivrutin för grafikverktyg för Windows-system. Det ger dem möjlighet att kommunicera direkt med det aktuella systemet och beordra det att inaktivera återuppringningsrutiner som används av både EDR-leverantörer och ETW (Event Tracing for Windows).

– Om man tänker sig datorn som en fästning så är ETW för många EDR-leverantörer att likna vid vakten vid den främre porten. Om vakten sätts ur spel gör det resten av systemet väldigt sårbart. Och eftersom ETW används av så många olika leverantörer är BlackBytes möjligheter att på detta vis använda och kringgå EDR-lösningar mycket stora, kommenterar Per Söderqvist, säkerhetsexpert på Sophos.

 

Relaterade Artiklar

Vi använder cookies och andra identifierare för att förbättra din upplevelse. Detta gör att vi kan säkerställa din åtkomst, analysera ditt besök på vår webbplats. Det hjälper oss att erbjuda dig ett personligt anpassat innehåll och smidig åtkomst till användbar information. Klicka på ”Jag godkänner” för att acceptera vår användning av cookies och andra identifierare eller klicka ”Mer information” för att justera dina val. Jag Godkänner Mer Information >>