Hindari Deteksi, Grup Ransomware BlackCat Gunakan Kernel Windows Berbahaya

Cyberthreat.id - Grup ransomware ALPHV (alias BlackCat) diamati menggunakan driver kernel Windows berbahaya untuk menghindari deteksi oleh perangkat lunak keamanan selama serangan.

Penggerak yang dilihat oleh Trend Micro adalah versi perbaikan dari malware yang dikenal sebagai 'POORTRY' yang ditemukan Microsoft, Mandiant, Sophos, dan SentinelOne dalam serangan ransomware akhir tahun lalu.

“Malware POORTRY adalah driver kernel Windows menggunakan kunci curian milik akun yang sah di Program Pengembang Perangkat Keras Windows Microsoft,” demikian laporan BleepingComputer.

Driver jahat ini digunakan oleh grup peretasan UNC3944, juga dikenal sebagai 0ktapus dan Scattered Spider, untuk menghentikan perangkat lunak keamanan yang berjalan di perangkat Windows untuk menghindari deteksi.

Meskipun perangkat lunak keamanan biasanya dilindungi dari penghentian atau perusakan, karena driver kernel Windows dijalankan dengan hak istimewa tertinggi dalam sistem operasi, mereka dapat digunakan untuk menghentikan hampir semua proses.

Trend Micro mengatakan pelaku ransomware mencoba menggunakan driver POORTRY bertanda Microsoft, tetapi tingkat deteksinya tinggi setelah publisitas yang didapatnya dan setelah kunci penandatanganan kode dicabut.

Oleh karena itu, para peretas menyebarkan versi terbaru dari driver kernel POORTRY yang ditandatangani menggunakan sertifikat tanda tangan silang yang dicuri atau bocor.

Driver baru yang digunakan oleh operasi ransomware BlackCat membantu mereka meningkatkan hak istimewa mereka pada mesin yang dikompromikan dan kemudian menghentikan proses yang berkaitan dengan agen keamanan.

Selain itu, ini dapat memberikan tautan longgar antara geng ransomware dan grup peretasan UNC3944/Scattered Spider.

Driver bertanda tangan yang dilihat oleh Trend Micro pada Februari 2023 Serangan BlackCat adalah 'ktgn.sys,' dimasukkan ke sistem file korban di folder %Temp% dan kemudian dimuat oleh program mode pengguna bernama 'tjr.exe.'

Analis mengatakan tanda tangan digital ktgn.sys telah dicabut; namun, driver akan tetap memuat tanpa masalah pada sistem Windows 64-bit dengan kebijakan penandatanganan yang diberlakukan.

Pengandar kernel berbahaya memperlihatkan antarmuka IOCTL yang memungkinkan klien mode pengguna, tjr.exe, untuk mengeluarkan perintah yang akan dijalankan oleh pengandar dengan hak istimewa kernel Windows.

"Dari analisis kami tentang apa yang terjadi ketika pengguna berinteraksi dengan driver ini, kami mengamati bahwa driver ini hanya menggunakan salah satu kode Device Input and Output Control (IOCTL) yang terbuka — Kill Process, yang digunakan untuk mematikan proses agen keamanan yang diinstal pada sistem. ," jelas laporan Trend Micro.

• Analis Trend Micro mengamati perintah berikut yang dapat dikeluarkan untuk pengemudi:
• Aktifkan pengemudi
• Nonaktifkan driver setelah klien mode pengguna menyelesaikan operasinya
• Bunuh semua proses mode pengguna
• Hapus jalur file tertentu
• Hapus paksa file dengan membebaskan pegangannya dan menghentikan proses yang sedang berjalan menggunakannya
• Salin file
• Salin paksa file menggunakan mekanisme serupa untuk menghapus paksa
• Daftarkan callback Notifikasi Proses/Thread
• Batalkan registrasi callback Proses/Thread Notification
• Reboot sistem dengan memanggil API 'HalReturnToFirmware'

Trend Micro berkomentar bahwa dua perintah yang digunakan untuk callback Process/Thread Notification tidak berfungsi, menunjukkan bahwa driver sedang dalam pengembangan atau masih dalam tahap pengujian.

Administrator sistem disarankan untuk menggunakan indikator penyusupan yang dibagikan oleh Trend Micro dan menambahkan driver jahat yang digunakan oleh pelaku ransomware ke daftar blokir driver Windows.

Admin Windows juga harus memastikan bahwa 'Driver Signature Enforcement' diaktifkan, yang memblokir penginstalan driver apa pun yang tidak memiliki tanda tangan digital yang valid.[]