Sophos发现BlackByte勒索软体使用了复杂的自带驱动程式技术

Sophos 是新一代网路安全的全球领导者，今天宣布勒索软体后起之秀 BlackByte 使用了一项复杂的「自带驱动程式」技术，用以绕过 1,000 个业界端点侦测和回应 (EDR) 产品使用驱动程式。Sophos 在《删除所有回呼─BlackByte 勒索软体透过滥用 RTCore64.sys 停用 EDR》这份报告中详细介绍了它的攻击策略、技术和程序 (TTP)。

BlackByte 在今年稍早被美国特勤局和 FBI 列为对关键基础设施的威胁，短暂消失后于 5 月卷土重来，伴随著新的资料外泄网站和新的勒索手法。现在，看来该组织也采用了新的攻击方法。具体来说，BlackByte 一直是滥用 Windows 系统的图形公用程式驱动程式 RTCorec6.sys 中的一个漏洞。这个特定的漏洞让他们可以直接与目标系统的核心通讯，命令系统停用 EDR 供应商及 ETW (Windows 事件追踪) Microsoft-Windows-Threat-Intelligence-Provider 使用的回呼常式。EDR 厂商经常使用这个功能来监控常见被恶意滥用的 API 呼叫；一旦被停用，则依赖此功能的 EDR 厂商将无计可施。

Sophos 威胁研究资深经理 Christopher Budd 表示：「如果您将电脑视为堡垒，那么对于许多 EDR 厂商而言，ETW 就是大门的守卫。如果守卫倒下，那么系统的其馀部分就会变得非常脆弱。而且，由于 ETW 广为许多不同的厂商使用，所以一旦使用 EDR 绕过，BlackByte 可以攻击的目标就会非常多。」

BlackByte 并不是唯一一个利用「自带驱动程式」绕过安全产品的勒索软体。AvosLocker 同样在 5 月 时滥用不同驱动程式中的漏洞来停用防毒解决方案。

Budd 说：「有趣的是，就我们在这个领域所看到的，EDR 绕过似乎正成为勒索软体威胁团体间一项很热门的技术。这并不奇怪，因为威胁行为者通常会利用「进攻性安全」(保护电脑、网路和个人免受攻击的主动和对抗性方法) 业界开发的工具和技术，以求更快、更轻松地发起攻击。事实上，BlackByte 似乎至少从开源工具 EDRSandblast 中取用了部分 EDR 绕过的方法。

「由于犯罪分子会利用进攻性安全业界的成果，因此防御人员必须在这些技术广为网路犯罪分子使用之前时时监控新的规避和入侵技术，并采取防护措施。」

若要了解 BlackByte 最新 TTP 以及如何确保系统安全的更多信息，请从 Sophos.com 下载完整报告。