แฮ็กเกอร์ Scattered Spider ที่กระจัดกระจายใช้ Intel driver เก่าเพื่อหลีกเลี่ยงการรักษาความปลอดภัย


26 January 2566
16
แฮ็กเกอร์ Scattered Spider ที่กระจัดกระจายใช้ Intel driver เก่าเพื่อหลีกเลี่ยงการรักษาความปลอดภัย

Scattered Spider ถูกสังเกตว่าพยายามปรับใช้ไดรเวอร์ Intel Ethernet ในการโจมตี BYOVD (Bring Your Own Vulnerable Driver) เพื่อหลบเลี่ยงการตรวจจับจากผลิตภัณฑ์รักษาความปลอดภัย EDR (Endpoint Detection and Response) เทคนิค BYOVD เกี่ยวข้องกับผู้คุกคามที่ใช้โปรแกรมควบคุมโหมดเคอร์เนลซึ่งทราบกันดีว่าเสี่ยงต่อการถูกโจมตีซึ่งเป็นส่วนหนึ่งของการโจมตีเพื่อรับสิทธิ์ที่สูงขึ้นใน Windows เนื่องจาก ดีไวซ์ไดรเวอร์มีการเข้าถึงเคอร์เนลไปยังระบบปฏิบัติการ การใช้ประโยชน์จากช่องโหว่ทำให้ผู้คุกคามสามารถรันโค้ดด้วยสิทธิ์สูงสุดใน Windows ได้ Crowdstrike เห็นกลยุทธ์ใหม่นี้ทันทีหลังจากการเผยแพร่รายงานก่อนหน้านี้ของบริษัทข่าวกรองไซเบอร์เกี่ยวกับ Scattered Spider เมื่อต้นเดือนที่แล้ว ตามรายงานล่าสุดของ Crowdstrike แฮกเกอร์พยายามใช้วิธี BYOVD เพื่อเลี่ยงผ่าน Microsoft Defender for Endpoint, Palo Alto Networks Cortex XDR และ SentinelOne CrowdStrike รายงานว่าผู้คุกคาม Scattered Spider พยายามใช้ประโยชน์จาก CVE-2015-2291 ซึ่งเป็นช่องโหว่ที่มีความรุนแรงสูงในไดรเวอร์ Intel Ethernet ที่ช่วยให้ผู้โจมตีเรียกใช้รหัสได้ตามต้องการพร้อมสิทธิ์เคอร์เนลโดยใช้การเรียกที่สร้างขึ้นเป็นพิเศษ แม้ว่าช่องโหว่นี้จะได้รับการแก้ไขในปี 2558 แต่ด้วยการติดตั้งเวอร์ชันเก่าที่ยังคงมีช่องโหว่บนอุปกรณ์ที่ถูกเจาะ ผู้คุกคามสามารถใช้ประโยชน์จากข้อบกพร่องได้ไม่ว่าเหยื่อจะใช้การอัปเดตใดกับระบบก็ตาม ไดร์ฟเวอร์ที่ใช้โดย Scattered Spider เป็นไดรเวอร์เคอร์เนลขนาดเล็ก 64 บิตที่มี 35 ฟังก์ชัน ซึ่งลงนามโดยใบรับรองต่างๆ ที่ขโมยมาจากหน่วยงานที่ลงนาม เช่น NVIDIA และ Global Software LLC ดังนั้น Windows จึงไม่ปิดกั้น

ผู้คุกคามใช้ไดรเวอร์เหล่านี้เพื่อปิดการใช้งานผลิตภัณฑ์รักษาความปลอดภัยปลายทาง โดยจำกัดการมองเห็นและความสามารถในการป้องกันของผู้ใช้ปลายทาง ซึ่งเป็นการปูพื้นฐานสำหรับขั้นตอนต่อไปของการดำเนินการบนเครือข่ายเป้าหมาย เมื่อเริ่มต้น ไดรเวอร์จะทำการถอดรหัสโค้ดของผลิตภัณฑ์รักษาความปลอดภัยที่เป็นเป้าหมาย และแพตช์ไดรเวอร์เป้าหมายที่ออฟเซ็ตฮาร์ดโค้ด มัลแวร์ที่แทรกเข้ามาทำให้แน่ใจว่าไดรเวอร์ซอฟต์แวร์ความปลอดภัยยังคงทำงานตามปกติแม้ว่าจะไม่ได้ปกป้องคอมพิวเตอร์อีกต่อไป Crowdstrike กล่าวว่า ‘Scattered Spider’ กำหนดเป้าหมายเฉพาะเจาะจง แต่เตือนว่าไม่มีองค์กรใดที่สามารถเพิกเฉยต่อความเป็นไปได้ของการโจมตี BYOVD เมื่อเร็ว ๆ นี้ เราได้รายงานเกี่ยวกับผู้ก่อภัยคุกคามอื่นๆ เช่น แก๊ง BlackByte ransomware และกลุ่มแฮ็คชาวเกาหลีเหนือ Lazarus ที่ใช้การโจมตี BYOVD เพื่อเพิ่มประสิทธิภาพการบุกรุกด้วยสิทธิ์ Windows ขั้นสูง Microsoft พยายามแก้ไขปัญหาความปลอดภัยที่ทราบนี้บน Windows โดยแนะนำรายการบล็อกในปี 2021 อย่างไรก็ตาม ปัญหานี้ไม่ได้รับการแก้ไขอย่างเด็ดขาด เนื่องจาก Windows จะไม่บล็อกไดรเวอร์เหล่านี้ตามค่าเริ่มต้น เว้นแต่คุณจะใช้ Windows 11 2022 และใหม่กว่า ซึ่งออกมาในเดือนกันยายน 2022 Microsoft แนะนำให้ผู้ใช้ Windows เปิดใช้งานรายการบล็อกไดรเวอร์เพื่อป้องกันการโจมตี BYOVD เหล่านี้ บทความสนับสนุนนี้ให้ข้อมูลเกี่ยวกับการเปิดใช้รายการบล็อกโดยใช้คุณลักษณะ Windows Memory Integrity หรือ Windows Defender Application Control (WDAC) น่าเสียดายที่การเปิดใช้งาน Memory Integrity บนอุปกรณ์โดยไม่มีไดรเวอร์รุ่นใหม่อาจเป็นเรื่องยาก