В последнее время в мире кибербезопасности наблюдается тревожная тенденция. Злоумышленники все чаще прибегают к злоупотреблению драйверами для деактивации антивирусных процессов и снижения уровня защиты в системах. Особого внимания заслуживает программа ThrottleStop.
Атака через ThrottleStop
ThrottleStop изначально был разработан TechPowerUp для управления торможением процессора. Однако, злоумышленники нашли способ использовать драйвер ThrottleStop.sys для получения доступа к памяти на уровне ядра, что позволяет завершать процессы безопасности по своему усмотрению. Анализ показывает, что изначальный доступ к сети часто осуществляется через украденные учетные данные RDP или с помощью перебора паролей административных аккаунтов.
Распространение и последствия
После проникновения в сеть атакующие быстро распространяют вредоносное ПО, включая известные программы-вымогатели, такие как MedusaLocker. Находя пользовательские данные с помощью инструментов, подобных Mimikatz, злоумышленники перемещаются по сети, используя методы Pass-the-Hash через скрипты Invoke-WMIExec.ps1 или Invoke-SMBExec.ps1. Главная задача - установка двух основных компонентов, ThrottleBlood.sys и All.exe, в пользовательские директории.
С помощью ThrottleBlood.sys, который является переименованным уязвимым драйвером, и программы All.exe атакующие успешно выключают антивирусное ПО, оставляя системы беззащитными. Исследователи из Securelist отмечают, что в странах, таких как Бразилия, Украина, Казахстан, Беларусь и Россия, были зафиксированы многочисленные случаи шифрования данных, и восстановить их оказывается крайне сложно.
Техническая сторона
В основе эксплойта ядра лежит использование двух уязвимых функций IOCTL в драйвере ThrottleStop.sys, которые предоставляют возможность произвольного чтения и записи физической памяти. После загрузки ThrottleBlood.sys через API диспетчера управления службами, вредоносное ПО использует функции для перечисления загруженных модулей и нахождения базового адреса ядра.
С помощью библиотеки перевода, основанной на SuperFetch, виртуальный адрес преобразуется в физический, что позволяет программе All.exe внедрять крошечный шеллкод и запускать функции ядра, такие как PsTerminateProcess. Эта методика подчеркивает необходимость мониторинга целостности драйверов и стратегий многоуровневой защиты.
Необходимость в самостоятельных функциях защиты и проверке на уязвимости становится особенно актуальной: компании обязаны внедрять строгие политики безопасности, использовать многофакторную аутентификацию и регулярно проводить сканирование на уязвимости. Продукты Kaspersky, например, уже доказывают свою эффективность в противостоянии подобным угрозам.
