AEMpress
  • Home
  • Quem somos
  • O que fazemos
  • Onde estamos
  • Press Releases
  • Blogue
  • English version

“Traga o seu próprio controlador vulnerável”: Investigação da ESET explica técnica de malware e como se proteger

13/1/2022

 
Imagem

A ESET, empresa global líder em soluções de cibersegurança, realizou uma investigação detalhada sobre o abuso de controladores (drivers) vulneráveis do kernel do Windows, tendo concluído que estes constituem uma importante porta de entrada para malware.
​
As vulnerabilidades em controladores de kernel “assinados” (ou seja, supostamente legítimos) são normalmente usadas por programadores de batotas (cheats) para videojogos de forma a contornar mecanismos antibatota, mas a ESET também observou o seu uso por grupos APT (advanced persistent threat – “ameaça persistente avançada”) e em malware tradicional. Estes controladores tornam-se frequentemente em pontos de acesso desprotegidos até ao kernel do Windows para agentes maliciosos.

Entre os vários tipos de controladores do kernel do Windows (o componente central do sistema operativo) encontram-se os controladores de software que fornecem funcionalidades específicas não-relacionadas com hardware, como depuração e diagnóstico de software, análise de sistemas, etc. – um tipo de controlador que pode expandir a superfície de ataque significativamente.

Embora carregar diretamente um controlador malicioso não-assinado já não seja possível nas novas versões do Windows, e rootkits de kernel sejam considerados algo do passado, continuam a existir formas de carregar código malicioso abusando de controladores assinados legítimos. A ESET descobriu que existem múltiplos controladores de diversos fornecedores de hardware e software que oferecem funcionalidades para aceder ao kernel do Windows com esforço mínimo.

As vulnerabilidades mais frequentemente observadas em controladores do kernel do Windows incluem:

  • não-inclusão de proteções para limitar o acesso de leitura e escrita de MSRs (model-specific registers – “registos de modelo específico”) críticos;
  • exposição da capacidade de mapear memória física a partir do modo utilizador para leitura e escrita;
  • exposição da capacidade de aceder a memória virtual do kernel a partir do modo utilizador para leitura e escrita.

“Quando agentes de malware precisam de correr código malicioso no kernel do Windows em sistemas x64 com proteção de assinatura de controladores implementada, carregar um controlador de kernel assinado vulnerável é uma possibilidade. Esta técnica é conhecida como BYOVD (bring your own vulnerable driver – “traga o seu próprio controlador vulnerável”), e a ESET observou o seu uso na vida real tanto por grupos APT como por malware tradicional,” explica Peter Kálnai, um dos coinvestigadores nesta pesquisa.

Exemplos de agentes maliciosos que usam a técnica BYOVD incluem o grupo APT Slingshot, que implementou o seu módulo principal, chamado Cahnadr, como um controlador de kernel que pode ser carregado por controladores de kernel assinados vulneráveis. Outro exemplo é o grupo APT InvisiMole, que foi descoberto por investigadores da ESET em 2018. Uma nova variante do malware InvisiMole é, até à data, o único caso que a ESET observou de um ataque MSR em sistemas Windows 10 x64 feito na vida real por um agente malicioso.

Outro exemplo é o ransomware RobbinHood que, como malware tradicional, tem como objetivo chegar ao maior número de pessoas possível. Um malware deste tipo usar uma técnica BYOVD é raro – mas eficaz. Este ransomware tira partido de um controlador de motherboard GIGABYTE vulnerável para desativar a proteção de assinatura de controladores e instala o seu próprio controlador malicioso. Finalmente, o LoJax, outra descoberta da ESET em 2018 e o primeiro rootkit UEFI de sempre usado na vida real, tirava partido do controlador RWEverything para obter acesso aos módulos UEFI das vítimas.

A ESET não só catalogou vulnerabilidades existentes como também procurou novas. Os fornecedores que contactou foram muito proativos durante o processo de investigação e mostraram-se interessados em corrigir as vulnerabilidades reveladas.

“Embora existam vários mecanismos de proteção implementados pelo CPU e pelo sistema operativo, a maior parte deles podem ser contornados por técnicas sofisticadas e não são muito eficazes se o atacante se preparar antecipadamente,” diz Kálnai.

A ESET sugere as seguintes medidas de mitigação:

  • Segurança baseada na virtualização: Esta funcionalidade introduzida no Windows 10 tira partido da virtualização hardware para isolar o kernel numa sandbox de forma a proteger o sistema operativo com várias proteções;
  • Revogação de certificados: Em sistemas Windows modernos, os controladores têm que ter uma assinatura válida baseada num certificado autenticado. Assim, revogar o certificado de um controlador vulnerável é uma maneira fácil de o desativar e inutilizá-lo na maior parte dos casos;
  • Blocklisting de controladores: Esta é uma prática adotada tanto pela Microsoft como por vários fornecedores de produtos de cibersegurança, incluindo a ESET, e que consiste em detetar e remover os controladores vulneráveis mais comuns quando encontrados num sistema.

Para saber mais detalhes técnicos sobre esta investigação da ESET, por favor consulte o relatório completo em inglês.

Mais informação: https://www.eset.com/pt/
Imagem de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/BYOVD/

Os comentários estão fechados.
    Procura imagens de alta resolução? Visite a nossa galeria em fotos.aempress.com

    Marcas e Empresas

    Tudo
    121
    Acer
    AEMpress
    AgfaPhoto
    Angelbird
    AquaTech
    Axpo
    BenQ
    Biliti
    Binance
    Black Rock
    Bowers & Wilkins
    Brennenstuhl
    Camping Car Park
    Casa Da Imprensa
    CobraTether
    Cotton Carrier
    Definitive Technology
    Devolo
    ESET
    Evolution
    Feelworld
    GoodRAM
    Gudsen
    Hama
    Hasselblad
    Hollyland
    HP Instant
    InPost
    Invoxia
    Kevin
    Kodak
    LituFoto
    Lume Cube
    Macrium
    Madoqua
    Marantz
    Masimo
    Mental
    Metz
    Newell
    Open Cosmos
    Peli
    Predator
    Priberam
    QNAP
    Rapoo
    Reflecta
    Robisa
    Rotel
    Rotolight
    Samyang
    SanDisk
    SantaFilm
    Satcab
    SoundUnited
    Sprig
    Tamron
    Thypoch
    TourBox
    Verizon Connect
    WhiteHat
    XEEN
    Xencelabs
    YoloLiv

    Data

    Março 2025
    Fevereiro 2025
    Janeiro 2025
    Dezembro 2024
    Novembro 2024
    Outubro 2024
    Setembro 2024
    Agosto 2024
    Julho 2024
    Junho 2024
    Maio 2024
    Abril 2024
    Março 2024
    Fevereiro 2024
    Janeiro 2024
    Dezembro 2023
    Novembro 2023
    Outubro 2023
    Setembro 2023
    Agosto 2023
    Julho 2023
    Junho 2023
    Maio 2023
    Abril 2023
    Março 2023
    Fevereiro 2023
    Janeiro 2023
    Dezembro 2022
    Novembro 2022
    Outubro 2022
    Setembro 2022
    Agosto 2022
    Julho 2022
    Junho 2022
    Maio 2022
    Abril 2022
    Março 2022
    Fevereiro 2022
    Janeiro 2022
    Dezembro 2021
    Novembro 2021
    Outubro 2021
    Setembro 2021
    Agosto 2021
    Julho 2021
    Junho 2021
    Maio 2021
    Abril 2021
    Março 2021
    Fevereiro 2021
    Janeiro 2021
    Dezembro 2020
    Novembro 2020
    Outubro 2020
    Setembro 2020
    Agosto 2020
    Julho 2020
    Junho 2020
    Maio 2020
    Abril 2020
    Março 2020
    Fevereiro 2020
    Janeiro 2020
    Dezembro 2019
    Novembro 2019
    Outubro 2019
    Setembro 2019
    Agosto 2019
    Julho 2019
    Junho 2019
    Maio 2019
    Abril 2019
    Março 2019
    Fevereiro 2019
    Janeiro 2019
    Novembro 2018
    Outubro 2018

    Feed RSS

Imagem
CONTACTO
  • Home
  • Quem somos
  • O que fazemos
  • Onde estamos
  • Press Releases
  • Blogue
  • English version