BYOVD (Bring Your Own Vulnerable Driver) è un tipo di attacco che vede gli aggressori rilasciare driver vulnerabili noti su un computer compromesso e poi sfruttare i bug per ottenere privilegi a livello di kernel. A questo livello di accesso, gli attaccanti possono ottenere molti risultati: nascondere malware, scaricare credenziali e, soprattutto, tentare di disabilitare le soluzioni EDR.
Gli attaccanti hanno l’imbarazzo della scelta quando si tratta di scegliere i driver vulnerabili; al momento in cui scriviamo, ci sono 364 voci etichettate come “driver vulnerabile” elencate su loldrivers.io, un repository open-source di driver vulnerabili e firme e hash corrispondenti. Forse per questo motivo, negli ultimi anni gli attacchi BYOVD, in precedenza appannaggio di individui altamente sofisticati, sono diventati popolari tra gli operatori di ransomware e gli attaccanti di livello inferiore.
Nel febbraio 2020, ad esempio, abbiamo riferito di una campagna di ransomware RobbinHood in cui l’aggressore abusava di un driver legittimo firmato da un produttore di schede madri per disabilitare i prodotti EDR. Da allora, abbiamo segnalato anche una campagna di ransomware BlackByte che abusava di un driver per schede grafiche; una campagna BYOVD in cui gli attaccanti sfruttavano un driver di Windows; e diversi incidenti che coinvolgevano AuKill, uno strumento che abusa di un driver di Process Explorer obsoleto e che abbiamo osservato essere utilizzato dagli autori di minacce in diversi episodi di ransomware.
Un’altra possibile ragione per cui BYOVD è diventato popolare tra gli aggressori di basso livello è che i kit e gli strumenti non disponibili vengono ora acquistati e venduti sui forum criminali. Uno in particolare ha attirato una notevole attenzione nel maggio 2023, quando un cyber criminale noto come spyboy ha pubblicizzato uno strumento chiamato Terminator sul forum di ransomware in lingua russa RAMP. Il venditore sosteneva che lo strumento, il cui prezzo variava da 300 a 3.000 dollari, era in grado di disattivare ventiquattro prodotti di sicurezza.
Hasta la driver, baby
Un’analisi di CrowdStrike del 2023 ha rivelato che Terminator sembra essere uno strumento BYOVD, con il driver vulnerabile in questione che è zam64.sys (Zemana Anti-Logger) o zamguard64.sys (Zemana Anti-Malware, o ZAM), pubblicato e firmato da Zemana. Entrambi i driver condividono quasi la stessa base di codice.
Leggi qui per saperne di più.