Esta publicación fue escrita por John Dwyer, Director de Investigación de Seguridad de Binary Defense, y fue posible gracias a las contribuciones del analista senior de investigación de TrustedSec Kevin Haubris y Eric González de Binary Defense.
ARC Labs recuperó recientemente una utensilio aprovechada en los ataques de ransomware Qilin destinados a debilitar las defensas al deshabilitar herramientas populares de detección y respuesta de endpoints (EDR) y antivirus (AV). ARC Labs ha etiquetado este malware como “Killer Extremista” según el nombre de un módulo adentro del malware. Killer Extremista aprovecha un compensador Zemana admisiblemente documentado como mecanismo para finalizar los procesos EDR/AV; sin retención, ARC Labs ha identificado capacidades adicionales adentro de Killer Extremista que indican que se puede servirse para poco más que afectar las defensas.
ARC Labs analizó Killer Extremista para comprender su funcionalidad completa y proporcionar inteligencia táctica sobre amenazas a las organizaciones para informar sus estrategias de detección y respuesta.
Conclusiones esencia
- Finaliza procesos para herramientas de seguridad comunes: Killer Extremista obtiene permisos a nivel de Kernel y apunta a herramientas de seguridad de endpoints de Symantec, Microsoft y Sentinel One.
- Borrado del registro de eventos: Enumera y residuo todos los registros de eventos de Windows.
- Explotación de vulnerabilidades: Killer Extremista incluye una traducción desvalido de Zemana AntiLogger que aprovecha CVE-2024-1853 para la terminación arbitraria de procesos.
- Capacidades extendidas: El descomposición reveló código inactivo con capacidades asociadas con herramientas posteriores a la explotación, como la descarga y ejecución de herramientas a través de un canal C2.
CVE-2024-1853
CVE-2024-1853 es una vulnerabilidad de terminación arbitraria de procesos identificada en Zemana AntiLogger v2.74.204.664. Esta vulnerabilidad explota el código IOCTL 0x80002048 de los controladores Zemana AntiLogger, lo que permite a un atacante finalizar procesos de forma arbitraria, incluidos procesos de seguridad críticos como software AV o EDR.
En mayo de 2023, un actor de amenazas con el seudónimo “SpyBoy” incorporó esta vulnerabilidad en una utensilio llamamiento “Terminator”, comercializada como una utensilio “asesina de EDR”. Terminator aprovecha CVE-2024-1853 mediante el uso del compensador desvalido Zemana AntiLogger para desactivar las soluciones de seguridad en los sistemas específicos. SpyBoy promovió y vendió esta utensilio en foros de piratería rusos, ofreciéndola a precios que van desde $300 por derivaciones AV específicas hasta $3000 por una alternativa todo en uno.
Killer Extremista incluye el compensador Zemana “amsdk.sys”, que se extrae automáticamente y se escribe en el disco en el directorio de ejecución de Killer Extremista como un archivo llamado “trevor”.
Diversión de defensa
Tras la ejecución, Killer Extremista inicia “notepad.exe” a través de CreateProcessA y abre un identificador para “notepad.exe” para sobrescribir la copia de NTDLL de Killer Extremista con la copia de “notepad.exe”. ser un intento de desenganche de Userland, donde Killer Extremista intenta evitar ganchos de herramientas de seguridad de endpoints en funciones NTDLL cargando una copia benigna desde “notepad.exe”. Killer Extremista asimismo intenta cegar aún más las herramientas de seguridad de endpoints cambiando los permisos de EtwEventWrite adentro de NTDLL, lo que potencialmente impide que se escriban eventos ETW relacionados con las actividades de Killer Extremista. Si admisiblemente ARC Labs verificó que el malware ejecuta estas funciones, no está claro si esto es verdaderamente efectivo para cegar las actividades del malware de las herramientas de seguridad de endpoints.
Deteriorar las defensas
A posteriori de la escalón de inicialización, Killer Extremista carga una copia desenganchada de NTDLL del “notepad.exe” generado y luego descomprime el compensador Zemana desvalido en el disco. El compensador se ejecuta creando un servicio llamado “StopGuard”.
Al invocar CreateServiceW se crea una esencia de registro en la futuro ubicación: HKLMSystemControlSet001ServicesStopGuard con ImagePath que hace relato a la ruta completa al archivo “trevor” extraído.
Con el compensador instalado y el servicio en ejecución, Killer Extremista apunta a una repertorio predefinida de productos de seguridad para deshabilitar. La repertorio de herramientas de seguridad está definida por nombres de procesos codificados XOR con 3. Killer Extremista enumera los procesos en ejecución y, si encuentra una coincidencia de nombre de proceso, el malware finalizará el proceso con permisos a nivel de kernel.
Al decodificar la repertorio definida, Killer Extremista apunta a los siguientes productos de seguridad para endpoints: Symantec Antivirus, Microsoft Windows Defender, SentinelOne y Microsoft Defender for Endpoint.
Persistencia
Para evitar que las herramientas de seguridad se vuelvan a ejecutar luego de reiniciar el sistema, Killer Extremista crea dos tareas programadas denominadas “Seguridad de Microsoft” y “Mantenimiento de Microsoft” para ejecutarse al iniciar el sistema. Ambas tareas están configuradas para ejecutar Killer Extremista en la futuro ruta: C:ProgramDataMicrosoftSystemMaintainenceMaintainence.exe
Asesinato del indicador
Killer Extremista posee una subrutina llamamiento StartAddress a la que se hace relato adentro de la función principal, diseñada para eliminar indicadores de compromiso al borrar los registros de eventos de Windows aprovechando la utilidad “wevtutil.exe”. Cuando se claridad, Killer Extremista genera “wevtutil.exe” a través de “cmd.exe” para recorrer todos los registros de eventos de Windows y borrarlos usando el futuro comando:
cmd.exe /c "for /F "tokens=*" %i in ('wevtutil.exe el') DO wevtutil.exe cl %i"
Capacidades adicionales
El descomposición del código adentro de Killer Extremista reveló referencias a capacidades que se extienden más allá de las defensas inhibidoras. Los investigadores de ARC Labs identificaron funciones inactivas adentro del código que podrían permitir que Killer Extremista funcione como una utensilio posterior a la explotación. Si admisiblemente estas capacidades no están activas actualmente, estas secciones de código podrían activarse en versiones futuras del malware, por lo que se detallarán a continuación para permitir a las organizaciones crear detecciones de forma proactiva.
Transferencia de utensilio de ingreso
Killer Extremista importa las funciones InternetOpenUrlW, CreateFileW, InternetReadFile y WriteFile. La realización de descomposición de seguimiento de códigos y referencias cruzadas de estos nombres de funciones reveló que hay subrutinas adentro del malware capaces de descargar herramientas desde fuentes remotas. Específicamente, hay una relato al “Agente de descarga” que aprovecha InternetOpenUrlW y CreateFileW, lo que indica que este código podría estar de moda en el futuro para establecer un canal de comando y control con un sistema afectado.
Ejecución de API nativa
Siguiendo los rastros de código donde se hace relato a las funciones de descarga, ARC Labs identificó que Killer Extremista tiene un código diseñado para ejecutar procesos llamados “mimi.exe” y “program.exe” desde “c:temp” a través de la función nativa CreateProcessW.
Se supone que “mimi.exe” es una relato a la utensilio de cosecha de credenciales Mimikatz, pero no hay información contextual adicional para determinar qué es “program.exe”. Es posible que “program.exe” sea un nombre despótico que pueda servir como registrador de posición para cualquier utensilio adicional.
Virtualización/Diversión Sandbox
Killer Extremista contiene una repertorio de archivos asociados con software de virtualización y sandbox, como VirtualBox y CAPE, a los que se hace relato adentro de una subrutina que conduce a una llamamiento a la función ExitProcess. El descomposición del código no pudo encontrar un punto de brinco activo para esta subrutina; sin retención, esta funcionalidad podría habilitarse fácilmente para que finalice automáticamente cuando se detecten estos archivos.
Hash de muestra:
379e4c80bc7f2d174b5ca9f2decedcee587c73517183488e23e7f34c99371774
Oportunidades de detección
ARC Labs ha subido consultas de soluciones de seguridad de terminales comunes para Killer Extremista al repositorio de GitHub de ARC Labs Hunting Queries aquí.
