Nuova Tecnica di Attacco Ransomware Elude i Sistemi di Sicurezza: La Battaglia per il Controllo dei Driver MiniFilter

Nuova Tecnica di Attacco Ransomware Elude i Sistemi di Sicurezza: La Battaglia per il Controllo dei Driver MiniFilter

Nell’affascinante mondo della cybersecurity, la corsa tra criminali informatici e difensori è costante e sfrenata. Recentemente, ho studiato un nuovo attacco orchestrato da Qilin Ransomware Gang, che sfrutta una tecnica fino ad ora poco conosciuta ma estremamente efficace. È fondamentale divulgare questi metodi per anticipare e contrastare le minacce prima che possano causare danni irreversibili.

Una delle funzioni cruciali dei sistemi Endpoint Detection and Response (EDR) è la capacità di intercettare le chiamate al kernel del sistema operativo. Per realizzare ciò, i produttori di EDR implementano i cosiddetti driver MiniFilter, che si attivano automaticamente all’avvio del sistema. Il problema sorge quando un attaccante riesce a disabilitare questi driver, permettendogli di manipolare il kernel indisturbato.

Il processo di caricamento di un driver MiniFilter segue una sequenza determinata da un parametro chiamato “Altitudine”, assegnato da Microsoft. Manipolando l’Altitudine attraverso una modifica nella chiave di registro REG_MULTI_SZ, gli attaccanti possono alterare l’ordine di caricamento, causando la disattivazione dei driver EDR. Dopo il riavvio del sistema, il driver EDR non sarà più attivo, consentendo all’attaccante di operare indisturbato.

Nel test che ho condotto, ho modificato la registrazione di Altitudine di un MiniFilter tradizionalmente usato per file con quello di un EDR. Il risultato? Dopo il riavvio, i callback del kernel potevano essere manipolati senza alcuna notifica da parte dell’EDR. Questa osservazione è stata confermata in sei diversi sistemi EDR, nessuno dei quali ha rilevato la modifica come maliziosa.

Questa tecnica è stata utilizzata dal Qilin Ransomware per eseguire attacchi con il software malevolo LaZagne, senza essere rilevato dai sistemi EDR. È quindi crucial che i fornitori di EDR inizino a monitorare e segnalare le modifiche alle Altitudini dei MiniFilter nel registro come potenziali comportamenti malevoli.

La scoperta di questi metodi di attacco deve servire da campanello d’allarme per l’industria della sicurezza informatica. Aggiungere la telemetria per le modifiche delle Altitudini nel monitoraggio standard dei prodotti EDR potrebbe rendere questa tecnica meno efficace e mantenere un passo avanti rispetto agli attaccanti. Con la costante evoluzione delle minacce informatiche, l’alert e la prevenzione rimangono le nostre migliori difese.

Cyber Net Now

Cyber Net Now è una rete di professionisti che volontariamente apportano il loro contributo alla divulgazione di notizie e tematiche del mondo della cybersecurity, della sicurezza informatica e della tecnologia, specialmente in Italia.

CATEGORIES
Share This