Sempre falamos sobre a constante mudança e a versatilidade dos ataques cibernéticos, por isso, desta vez, analisamos uma das táticas emergentes que ganhou notoriedade: o uso de drivers vulneráveis legítimos para se infiltrar em sistemas protegidos, uma estratégia conhecida como Bring Your Own Vulnerable Driver (BYOVD).
Essa estratégia é particularmente perigosa porque os drivers, sendo assinados digitalmente, são considerados confiáveis pelo sistema operacional, permitindo que os invasores contornem as medidas de segurança tradicionais.
Definição
BYOVD (Bring Your Own Vulnerable Driver) é uma técnica usada por criminosos cibernéticos para introduzir um driver legítimo, mas vulnerável, em um sistema-alvo a fim de explorá-lo para fins maliciosos. Esses drivers, por serem assinados digitalmente, são considerados confiáveis pelo sistema operacional, permitindo que os invasores contornem as medidas de segurança convencionais. Além disso, ao operar no modo kernel, esses drivers concedem aos invasores privilégios elevados, facilitando ações como a desativação de softwares de segurança ou a instalação de rootkits.
Originalmente, essa técnica era usada por grupos de ameaças persistentes avançadas (APT) de alto nível, como o Turla e o Equation Group. No entanto, com a diminuição dos custos associados a esses ataques, outros agentes mal-intencionados adotaram o método BYOVD para atingir seus objetivos.
A crescente popularidade do BYOVD se deve, em parte, à disponibilidade de recursos de código aberto que documentam drivers legítimos que podem ser explorados. Por exemplo, o projeto Living Off The Land Drivers (LOLDrivers) catalogou mais de 700 drivers que os invasores podem usar, reduzindo as barreiras para a realização de ataques BYOVD.
Como funciona
Os ataques do tipo BYOVD (Bring Your Own Vulnerable Driver) permitem que os criminosos cibernéticos obtenham controle total sobre um sistema explorando vulnerabilidades em drivers legítimos. Esse método envolve a introdução de um driver vulnerável no sistema da organização e a exploração de suas falhas para executar códigos maliciosos com privilégios elevados.
Os principais estágios de um ataque BYOVD estão detalhados abaixo:
- Identificação e seleção de um driver vulnerável: os atacantes procuram drivers legítimos com vulnerabilidades conhecidas. Esses drivers geralmente são assinados digitalmente, o que facilita sua instalação sem levantar suspeitas.
- Instalação do driver no sistema da vítima: uma vez selecionado, o driver vulnerável é introduzido no sistema da organização. Isso pode ser feito por meio de técnicas de engenharia social, acesso remoto ou pela exploração de permissões administrativas obtidas anteriormente.
- Exploração da vulnerabilidade para elevar os privilégios: após a instalação, os criminosos cibernéticos exploram os pontos fracos do driver para executar códigos no modo kernel. Isso permite que eles desativem as soluções de segurança, modifiquem as configurações do sistema e ocultem suas atividades mal-intencionadas.
- Manter a persistência e evitar a detecção: com acesso privilegiado, os invasores implementam mecanismos para manter sua presença no sistema e evitar as ferramentas de detecção. Isso pode incluir a desativação do software de segurança ou a modificação dos registros do sistema.
Um exemplo notável dessa técnica é o uso da ferramenta AuKill, que aproveita uma versão desatualizada do driver Process Explorer para desativar os processos de segurança antes de implantar o ransomware no sistema de destino. Esse método foi empregado em vários incidentes desde o início de 2023, destacando a crescente adoção de ataques BYOVD por grupos de ransomware.
A sofisticação e a eficácia dos ataques BYOVD destacam a necessidade de as organizações manterem seus drivers e sistemas de segurança atualizados, implementarem políticas rigorosas de gerenciamento de privilégios e adotarem soluções capazes de detectar e atenuar atividades mal-intencionadas no nível do kernel.
Alguns exemplos
Os ataques BYOVD foram usados em vários incidentes cibernéticos, principalmente em ataques de ransomware e por grupos de ameaças persistentes avançadas (APT). Alguns casos representativos são apresentados a seguir:
Caso 1: uso de drivers assinados legítimos, mas vulneráveis, em ataques de ransomware.
Em vários incidentes, os criminosos cibernéticos exploraram drivers legítimos com vulnerabilidades conhecidas para desativar soluções de segurança nos sistemas das vítimas. Ao instalar esses drivers vulneráveis, os invasores obtêm privilégios elevados, o que lhes permite implantar ransomware e criptografar dados críticos sem serem detectados. Essa técnica foi observada em várias campanhas de ransomware, nas quais os invasores exploram drivers assinados para contornar as defesas do sistema.
Caso 2: Ameaças persistentes avançadas (APTs) usando BYOVD para evitar soluções de segurança.
Os grupos APT adotaram a técnica BYOVD para se infiltrar em redes de alto valor. Por exemplo, atores como InvisiMole e LoJax foram documentados empregando drivers vulneráveis para obter acesso ao kernel do Windows, o que lhes permite evitar soluções de segurança e manter uma presença prolongada em sistemas comprometidos. Essa estratégia facilita a exfiltração de informações confidenciais e mantém o controle contínuo da infraestrutura comprometida.
Caso 3: uso em malware como o RobbinHood, que desativa o antivírus por meio de drivers vulneráveis.
O ransomware RobbinHood foi identificado usando a técnica BYOVD para desativar as soluções antivírus nos sistemas visados. Ao carregar um driver vulnerável, o malware consegue desativar os mecanismos de proteção, facilitando a criptografia de dados sem interferência. Essa abordagem demonstra como os atacantes adaptam seus métodos para superar as barreiras de segurança tradicionais, explorando drivers com vulnerabilidades conhecidas.
Pequenos arquivos, grandes problemas
Essa estratégia representa uma ameaça significativa à segurança cibernética devido à dificuldade de mitigá-la e ao possível impacto sobre organizações e parceiros.
Dificuldade em mitigar ataques BYOVD
Uma das principais complexidades na atenuação desses ataques é que os drivers usados geralmente são assinados digitalmente por autoridades legítimas. Essa assinatura digital confere a eles um nível de confiança dentro do sistema operacional, permitindo que os criminosos cibernéticos carreguem drivers vulneráveis sem serem facilmente detectados. Além disso, a ampla disponibilidade de drivers legítimos com vulnerabilidades conhecidas oferece aos invasores várias opções para realizar suas ações mal-intencionadas.
Problemas com listas de bloqueio e gerenciamento de assinaturas digitais
A implementação de listas de bloqueio para drivers vulneráveis é uma estratégia comum; no entanto, manter essas listas atualizadas é um desafio constante. Os criminosos cibernéticos podem modificar ligeiramente os drivers ou usar variantes menos conhecidas para contornar essas medidas de segurança. Além disso, o gerenciamento de assinaturas digitais é complicado quando os invasores usam certificados roubados ou vazados para assinar drivers mal-intencionados, o que dificulta a identificação e o bloqueio eficazes desses componentes.
Impacto nas organizações e parceiros
Os ataques BYOVD podem ter consequências devastadoras para as organizações. Ao desativar soluções de segurança, como EDR (Endpoint Detection and Response), os invasores obtêm acesso irrestrito a sistemas essenciais, o que pode levar ao roubo de dados confidenciais, a interrupções operacionais e a danos à reputação. Para os funcionários, isso pode resultar em perda de confiança na infraestrutura de segurança da organização e em possíveis riscos para suas informações pessoais.
Métodos de prevenção e mitigação
Não há uma solução simples para esse problema. Para aumentar a eficácia da proteção, é essencial implementar uma combinação de estratégias preventivas e de mitigação. Veja a seguir algumas medidas recomendadas:
Auditoria regular e atualização dos controladores
Realize auditorias regulares dos drivers instalados nos sistemas para identificar aqueles que estão vulneráveis ou desatualizados. É essencial aplicar patches e atualizações fornecidos pelos fabricantes para corrigir possíveis vulnerabilidades. Além disso, a remoção de drivers obsoletos ou desnecessários reduz a superfície de ataque disponível para os criminosos cibernéticos.
Implementação de listas de bloqueios de drivers vulneráveis
Mantenha e aplique listas de bloqueio que incluam drivers conhecidos como vulneráveis. Os sistemas operacionais, como o Windows, fornecem mecanismos para bloquear o carregamento de drivers específicos, impedindo que os criminosos cibernéticos explorem esses pontos fracos. Essa prática é essencial para evitar a execução de drivers comprometidos no ambiente organizacional.
Fortalecimento dos privilégios administrativos
Restringir os privilégios administrativos necessários para a instalação e o carregamento de drivers. Implemente políticas de controle de acesso que limitem a capacidade dos colaboradores de instalar software não autorizado. Além disso, use soluções de gerenciamento de identidade e acesso (IAM) para monitorar e controlar os privilégios dos usuários, minimizando o risco de os criminosos cibernéticos explorarem contas com permissões elevadas.
Ativação dos mecanismos de proteção do kernel
Ative os recursos de segurança incorporados ao sistema operacional, como a proteção da integridade do código do modo kernel e a integridade da memória. Essas ferramentas ajudam a evitar o carregamento de drivers não autorizados ou mal-intencionados, reforçando a segurança no nível do kernel do sistema.
Monitoramento ativo e resposta a incidentes
Implemente soluções de monitoramento contínuo que detectem atividades suspeitas relacionadas a drivers, como tentativas de carregar drivers não autorizados ou modificações em drivers existentes. Estabeleça procedimentos de resposta rápida para isolar e remediar sistemas comprometidos, evitando a disseminação de ameaças e minimizando o impacto sobre a organização.
Educação e conscientização dos funcionários
Treine os funcionários sobre as práticas recomendadas de segurança, enfatizando a importância de não instalar software ou drivers de fontes não confiáveis. Promova uma cultura de segurança em que os funcionários estejam cientes dos possíveis vetores de ataque e saibam como relatar atividades incomuns.
Conclusão
O BYOVD representa uma ameaça significativa no cenário atual da segurança cibernética. Os criminosos cibernéticos exploram drivers legítimos, mas vulneráveis, para obter acesso privilegiado ao kernel do sistema, contornando assim as medidas de segurança tradicionais. Essa abordagem foi adotada por vários grupos de ameaças, incluindo atores de ransomware e grupos de ameaças persistentes avançadas (APT), ressaltando a necessidade de vigilância constante e resposta proativa por parte das organizações.
Para reduzir os riscos associados ao BYOVD, é essencial que as organizações implementem estratégias de segurança robustas. Isso inclui a manutenção de uma lista de bloqueio atualizada de drivers vulneráveis, o emprego de ferramentas avançadas de detecção e resposta de endpoints (EDR) e a garantia de que todos os drivers e sistemas sejam atualizados com os patches de segurança mais recentes. Além disso, a colaboração entre fabricantes de hardware, desenvolvedores de software e profissionais de segurança cibernética é fundamental para identificar e solucionar proativamente as vulnerabilidades dos drivers.
Em suma, a conscientização e a ação coordenada são fundamentais para proteger os sistemas contra as ameaças impostas pelo BYOVD. Ao adotar uma abordagem proativa e colaborativa, as organizações podem fortalecer suas defesas e reduzir a superfície de ataque disponível para os criminosos cibernéticos.
