EDR теперь бесполезен. Хакеры DeadLock нашли универсальную «кнопку выключения» защиты
NewsMakerВымогатели DeadLock используют уязвимый драйвер и хитрый скрипт, чтобы сначала убрать защиту и бэкапы, а уже потом зашифровать файлы жертвы.
Cisco Talos выявила новую кампанию вымогателей DeadLock: злоумышленники используют уязвимый драйвер Baidu Antivirus (CVE-2024-51324), чтобы отключать EDR-системы через технику Bring Your Own Vulnerable Driver (BYOVD), ломают защиту PowerShell-скриптом, стирают резервные копии и шифруют файлы на Windows с помощью собственного алгоритма шифрования. При этом группа не ведёт сайт утечек и общается с жертвами через мессенджер Session.
По данным Talos, за атаками стоит финансово мотивированный оператор, который как минимум за пять дней до шифрования получает доступ к инфраструктуре жертвы и постепенно готовит систему к развёртыванию DeadLock. Один из ключевых элементов цепочки — BYOVD : злоумышленники сами приносят в систему легитимный, но уязвимый драйвер Baidu Antivirus BdApiUtil.sys, замаскированный под DriverGay.sys, и собственный загрузчик EDRGay.exe. Загрузчик в пользовательском режиме инициализирует драйвер, устанавливает с ним соединение через CreateFile() и начинает перечислять процессы в поисках антивирусных и EDR-решений .
Дальше эксплуатируется уязвимость CVE-2024-51324 — ошибка управления привилегиями в драйвере. Загрузчик отправляет в драйвер специальную команду DeviceIOControl() с кодом IOCTL 0x800024b4 и PID целевого процесса. На стороне ядра драйвер трактует её как запрос на завершение процесса, но из-за уязвимости не проверяет права вызывающей программы. Работая с привилегиями ядра, драйвер просто вызывает ZwTerminateProcess() и мгновенно «убивает» защитный сервис, открывая дорогу дальнейшим действиям злоумышленников.
Перед запуском шифровальщика оператор выполняет на машине жертвы подготовительный PowerShell-скрипт . Он сначала проверяет права текущего пользователя и при необходимости перезапускает себя с административными привилегиями через RunAs, обходя UAC и ослабляя стандартные ограничения PowerShell. Получив права администратора, скрипт отключает Windows Defender и другие средства защиты, останавливает и переводит в отключённое состояние службы резервного копирования, базы данных и прочий софт, который может помешать шифрованию. Параллельно он удаляет все snapshots теневых копий томов , лишая жертву стандартных средств восстановления, а в конце самоуничтожается, усложняя форензику.
Cisco Talos выявила новую кампанию вымогателей DeadLock: злоумышленники используют уязвимый драйвер Baidu Antivirus (CVE-2024-51324), чтобы отключать EDR-системы через технику Bring Your Own Vulnerable Driver (BYOVD), ломают защиту PowerShell-скриптом, стирают резервные копии и шифруют файлы на Windows с помощью собственного алгоритма шифрования. При этом группа не ведёт сайт утечек и общается с жертвами через мессенджер Session.
По данным Talos, за атаками стоит финансово мотивированный оператор, который как минимум за пять дней до шифрования получает доступ к инфраструктуре жертвы и постепенно готовит систему к развёртыванию DeadLock. Один из ключевых элементов цепочки — BYOVD : злоумышленники сами приносят в систему легитимный, но уязвимый драйвер Baidu Antivirus BdApiUtil.sys, замаскированный под DriverGay.sys, и собственный загрузчик EDRGay.exe. Загрузчик в пользовательском режиме инициализирует драйвер, устанавливает с ним соединение через CreateFile() и начинает перечислять процессы в поисках антивирусных и EDR-решений .
Дальше эксплуатируется уязвимость CVE-2024-51324 — ошибка управления привилегиями в драйвере. Загрузчик отправляет в драйвер специальную команду DeviceIOControl() с кодом IOCTL 0x800024b4 и PID целевого процесса. На стороне ядра драйвер трактует её как запрос на завершение процесса, но из-за уязвимости не проверяет права вызывающей программы. Работая с привилегиями ядра, драйвер просто вызывает ZwTerminateProcess() и мгновенно «убивает» защитный сервис, открывая дорогу дальнейшим действиям злоумышленников.
Перед запуском шифровальщика оператор выполняет на машине жертвы подготовительный PowerShell-скрипт . Он сначала проверяет права текущего пользователя и при необходимости перезапускает себя с административными привилегиями через RunAs, обходя UAC и ослабляя стандартные ограничения PowerShell. Получив права администратора, скрипт отключает Windows Defender и другие средства защиты, останавливает и переводит в отключённое состояние службы резервного копирования, базы данных и прочий софт, который может помешать шифрованию. Параллельно он удаляет все snapshots теневых копий томов , лишая жертву стандартных средств восстановления, а в конце самоуничтожается, усложняя форензику.