勒索組織 BlackByte 近期不斷利用新的攻擊手法,透過 Windows 系統內的圖像公用程式 RTCore6.sys 漏洞,直接向目標的核心系統傳達訊息,且命令系統停用受 EDR 供應商、Windows 事故追蹤 (ETW) 及 Microsoft 威脅情報供應商廣泛使用的回調程序。由於 EDR 供應商經常以此功能監控常見的惡意行為,回調程序一旦被停用,EDR 供應商則無法進行監控工作。Sophos 針對此情況進行調查,發現 BlackByte 採用的「自帶內建驅動程式」技術, 能成功繞過上千個企業終端偵測和回應(EDR)產品所使用的驅動程式。
BlackByte 於今年年初被美國特勤局和美國聯邦調查局 (FBI) 視為能對關鍵基礎設施構成重大威脅的組織。5 月,又因有新的數據外洩網站和勒索手法出現,該組織再次被列為重大威脅。最近,該組織更用上新技術繞過 EDR 產品,對企業造成極嚴重的威脅。Sophos 威脅研究資深總經理 Christopher Budd 表示:「對許多 EDR 供應商而言,ETW 則被視為大門的守衛,當沒有守衛時,系統內的其他部分會變得極其脆弱。由於現時不同的服務供應商都在使用 ETW 功能,成為 BlackByte 組織的潛在目標,並繞過 EDR 系統以部署大型攻擊活動。」
他續指,BlackByte 並非唯一利用「自帶內建驅動程式」繞過安全產品偵測的勒索軟件組織, AvosLocker 於今年 5 月同樣濫用不同驅動程式中的漏洞,停用系統內的防毒軟件及安全解決方案。 「現時,繞過 EDR 的攻擊策略將變成勒索軟件威脅組織的常用技術。攻擊者通常利用『進攻安全(Offensive Security)』所研發的工具和技術,以最短的時間進行攻擊。事實上,BlackByte 亦從 EDRSandblast 開源工具中取得部分 EDR 系統的執行部分,從而繞過 EDR 系統。」
Budd 提醒,隨著犯罪分子利用進攻安全領域的技術進行攻擊,企業應在相關攻擊技術受廣泛利用前,盡快掌握能有效監測和防範攻擊的技術,採取妥善的防禦措施。