Ransomware : comment BlackByte passe inaperçu des EDR

Les opérateurs à l’origine du ransomware BlackByte ont mis au point une technique avancée pour contourner les produits de sécurité, selon de nouvelles recherches.

Dans un billet de blog publié début octobre, Andreas Klopsch, chercheur en menaces chez Sophos, a détaillé la nouvelle tactique d’évasion qui désactive les outils de détection et de réponse sur les hôtes (EDR, Endpoint Detection and Response) en exploitant une vulnérabilité connue d’élévation de privilèges et d’exécution de code dans un pilote appelé RTCore64.sys. Ce pilote vidéo est utilisé par MSI AfterBurner 4.6.2.15658 de Micro-Star, un outil d’overclocking qui donne aux utilisateurs un contrôle étendu sur les cartes graphiques.

La franchise BlackByte est initialement apparue en juillet 2021 et n’a pas manqué d’être bien active. Selon AdvIntel, cette franchise fait partie des faux-nez de feu Conti. Ses opérateurs exploitent la vulnérabilité référencée CVE-2019-16098 affectant RTCore64.sys pour cibler une partie du système d’exploitation Windows qui confine les produits de sécurité EDR. Sophos a noté qu’aucun shellcode ou exploit n’est nécessaire pour abuser de la vulnérabilité.

« En outre, nous avons identifié des routines permettant de désactiver le fournisseur de Microsoft-Windows-Threat-Intelligence ETW (Event Tracing for Windows), une fonctionnalité qui fournit des journaux sur l’utilisation d’appels API couramment détournés, tels que NtReadVirtualMemory, pour s’injecter dans la mémoire d’un autre processus », écrit Klopsch dans le billet de blog. « Cela rend inutile toute fonction de sécurité qui s’appuie sur ce fournisseur ».

La technique d’attaque, que Sophos a baptisée « Bring Your Own Driver » (BYOD), peut être utilisée contre une liste de 1 000 pilotes et exploite des vulnérabilités connues pour contourner les produits de détection des menaces. Sophos a relevé d’autres exemples récents de cette technique, notamment une attaque AvosLocker qui a utilisé un pilote anti-rootkit Avast.

Durant leur analyse, les chercheurs de Sophos ont trouvé de nombreuses similitudes entre l’outil open-source « EDRSandblast » et la méthode de contournement de l’EDR de BlackByte. Klopsch décrit EDRSandblast comme étant « un outil écrit en C permettant d’exploiter des pilotes signés vulnérables pour contourner les détections EDR par le biais de diverses méthodes ». Sur la base de ces résultats, Sophos a conclu que les opérateurs de BlackByte « ont copié des extraits de code de l’outil open-source et les ont réimplémentés dans le ransomware ».

D’ailleurs, les similarités ne manquent pas : « si nous décryptons la liste des décalages du noyau de BlackByte, elle est presque, voire complètement, identique à la liste du dépôt GitHub, sauf que l’en-tête du fichier CSV est manquant », écrit Klopsch.

« Une fois que les pilotes vulnérables sont connus pour être vulnérables et qu’ils sont corrigés, la majorité des fournisseurs suppriment le pilote vulnérable, ce qui vous ferme cette voie. Mais ces choses circulent. »

Christopher Budd, directeur senior de la recherche sur les menaces chez Sophos, a déclaré à la rédaction de TechTarget que l’industrie de l’informatique devait être consciente de ce vecteur d’attaque, car les opérateurs de BlackByte ne ciblent pas un fournisseur de sécurité spécifique. Au contraire, il décrit la situation comme une approche de haut niveau, d’un point de vue architectural, qui peut être appliquée à un grand nombre de produits de sécurité.

En outre, il n’est pas difficile d’obtenir les pilotes, souligne Christopher Budd : « les pilotes sont omniprésents. Une fois que les pilotes vulnérables sont connus pour être vulnérables et qu’ils sont corrigés, la majorité des fournisseurs suppriment le pilote vulnérable, ce qui vous ferme cette voie. Mais ces choses circulent ».

Pour autant, précise-t-il, cette tactique, observée avec BlackBite ou encore AvosLocker, n’est pas répandue. Il n’en reste pas moins que sa large applicabilité est un motif de préoccupation. En outre, le niveau de sophistication démontré suggère l’implication d’une personne qui comprend le fonctionnement des noyaux des systèmes d’exploitation : « plus important encore, [ils comprennent] comment les logiciels de sécurité et les EDR s’appuient collectivement sur la même capacité API critique unique au sein du système d’exploitation ».