Elastic: 'Aanvallers zetten steeds vaker eigen drivers in voor uitschakelen van EDR-oplossingen'
Cybercriminelen maken steeds vaker gebruik van drivers voor het uitschakelen van endpoint detection and response (EDR)-systemen en het omzeilen van detectie- en preventiefunctionaliteiten. In sommige gevallen misbuiken aanvallers een kwetsbare legitieme driver, terwijl in andere gevallen een eigen "custom" driver wordt gebruikt.
Hiervoor waarschuwt Elastic Security Labs. Elastic wijst op een campagne waarbij de MEDUSA-ransomware is verspreid via een loader die verpakt is via de Packer-as-a-Service "HEARTCRYPT". De loader maakt gebruik van een driver met een verlopen certificaat, die Elastic "ABYSSWORKER" noemt. De aanvallers installeren de driver op een systeem en gebruiken deze om EDR-oplossingen van verschillende fabrikanten uit te schakelen. ConnectWise schreef eerder eveneens over deze methode.
Driver doet zich voor als legitieme CrowdStrike Falcon-driver
Het gaat daarbij om een driver die zich voordoet als een legitieme CrowdStrike Falcon-driver. Elastic meldt diverse ABYSSWORKER-varianten op het VirusTotal-platform te hebben aangetroffen, waarvan de eerste uit augustus 2024 dateert. De drivers zijn ondertekend met ingetrokken certificaten, die vermoedelijk zijn gestolen.
Eenmaal op het systeem genesteld voegt ABYSSWORKER het proces-ID toe aan een lijst met beschermde processen en luistert naar inkomende I/O-verzoeken van apparaten. Deze verzoeken worden vervolgens doorgestuurd naar de juiste "handlers". "Deze handlers dekken een breed scala aan operaties, van bestandsmanipulatie tot het beëindigen van processen en drivers, en bieden zo een uitgebreide toolset die kan worden gebruikt om EDR-systemen te beëindigen of permanent uit te schakelen", meldt Elastic hierover.
Daar naast is een use case die monitored of een EDR wel functioneel is een van de basic use cases welk ook al vaak out-of-the box mee gelevered wordt.
Er is niets speciaals aan deze driver, misschien gesigned met een gestolen hardware publishers account... maar dat is geen nieuws, gebeurd wel vaker.. doen game cheaters zovaak.
Daar naast is een use case die monitored of een EDR wel functioneel is een van de basic use cases welk ook al vaak out-of-the box mee gelevered wordt.
Er is niets speciaals aan deze driver, misschien gesigned met een gestolen hardware publishers account... maar dat is geen nieuws, gebeurd wel vaker.. doen game cheaters zovaak.
Ik ben heel benieuwd welke EDR het aan gaat geven, en op welke manier, als signalen van ring 0 tegengehouden worden door een malicious driver. Effectief komt dit in de monitoring op het zelfde neer als een device wat is uitgeschakeld, alleen is er wel degelijk een heel groot verschil qua impact.
Daar naast is een use case die monitored of een EDR wel functioneel is een van de basic use cases welk ook al vaak out-of-the box mee gelevered wordt.
Er is niets speciaals aan deze driver, misschien gesigned met een gestolen hardware publishers account... maar dat is geen nieuws, gebeurd wel vaker.. doen game cheaters zovaak.
Ik ben heel benieuwd welke EDR het aan gaat geven, en op welke manier, als signalen van ring 0 tegengehouden worden door een malicious driver. Effectief komt dit in de monitoring op het zelfde neer als een device wat is uitgeschakeld, alleen is er wel degelijk een heel groot verschil qua impact.
Je begrijpt me punt niet denk ik.
Die malicious driver kun je alleen laden als je al admin bent.
Stel je doet een poging om je rechten te verhogen, dan wordt je al gedetecteerd voor het poging doen tot verhogen van je rechten.
En zelfs als het je lukt op een of andere manier, missende heartbeat van edr kun je ook detection rules op bouwen
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?