O tehnică sofisticată de atac cibernetic permite ocolirea detecției și crearea unui backdoor permanent prin injectarea de cod malițios direct în procesele protejate ale soluțiilor antivirus/EDR (Endpoint Detection and Response). Metoda utilizează Clonarea Serviciului Protejat, care presupune manipularea cheilor de registry pentru a duplica un serviciu antivirus existent (ex: BDProtSrv). Procesul clonat rulează apoi cu privilegii de sistem (SYSTEM) și beneficiază de protecția Protected Process Light (PPL) anti-terminare, asigurând atacatorului un mediu de execuție stabil și rezistent.
A doua componentă cheie este Hijacking-ul Criptografic, care facilitează injectarea codului. Actorul malițios modifică pointerii din Registrul Windows care guvernează funcțiile de securitate, alterând intrarea (HKLM∖SOFTWARE∖Microsoft∖Cryptography∖Defaults∖Provider) pentru a redirecționa procesul să încarce un DLL malițios.
Pentru a ocoli controalele de integritate, DLL-ul malițios este semnat cu un certificat clonat (CertClone). Prin urmare, la pornirea serviciului clonat, DLL-ul ostil este încărcat automat de procesul protejat, permițând scrierea unui backdoor direct în directorul protejat al soluției antivirus. Această metodă stabilește un punct de persistență extrem de mascat și eficient.
Sfaturi de Protectie
1. Monitorizați Schimbările Cheilor de Registry Critice (Prioritate Maximă)
Obiectiv: Acest sfat este direct relevant deoarece atacul depinde în totalitate de modificarea a două chei de registry necesare pentru a realiza clonarea serviciului și, respectiv, hijack-ul criptografic.
Pasul 1: Activați System Access Control Lists (SACLs) (prin GPO) pentru a înregistra modificările cheilor de registry esențiale care gestionează serviciile și criptografia.
Pasul 2: Vizați cheile critice precum: HKLM∖SYSTEM∖CurrentControlSet∖Services∖ (pentru clonarea de servicii) și HKLM∖SOFTWARE∖Microsoft∖Cryptography∖Defaults∖Provider (pentru hijack).
Pasul 3: Generați alerte de severitate mare în SIEM/SOAR la orice modificare neautorizată.
2. Monitorizați Încărcarea de Module (DLL) Neobișnuite
Obiectiv: Detectați încărcarea DLL-ului malițios de către procesul antivirus.
Pasul 1: Configurați EDR-ul sau Sysmon pentru a colecta detaliat evenimentele de încărcare a modulelor (DLL Load Events).
Pasul 2: Creați o regulă care alertează când un proces AV/EDR încarcă un DLL care provine dintr-o cale neobișnuită (ex: nu din directorul de instalare al AV sau System32).
3. Monitorizarea Creării de Servicii Windows Noi
Obiectiv: Identificați rapid serviciul clonat, urmărind evenimentele de instalare a serviciilor care nu fac parte dintr-un proces legitim de instalare a software-ului.
Pasul 1: Monitorizarea Jurnalelor de Evenimente. Urmăriți constant jurnalele de evenimente (Event Logs) ale Windows pentru a detecta evenimentele de creare/instalare a unui serviciu nou (Service Creation Events).
Pasul 2: Crearea unei Reguli de Detecție Bazate pe Nume și Semnătură. Generați o alertă de înaltă prioritate când un serviciu nou este creat cu un nume similar (sau identic) cu un serviciu antivirus existent (ex: BDProtSrvClone sau BDProtSrv-x). Prioritate maximă: Regula trebuie să alerteze când un serviciu este creat de un proces părinte care nu este un instalator semnat digital (de exemplu, un script PowerShell, un CMD sau un exe care nu deține o semnătură de la un furnizor de software de încredere).
Pasul 3: Investigați Anomaliile în Procesul Părinte. Investigați procesele care creează un nou serviciu, dar care nu sunt fișiere de instalare cunoscute (setup.exe, msiexec.exe, etc.) și care nu au o semnătură digitală validă. Aceasta ajută la diferențierea între un instalator legitim și un instrument de atac care rulează din umbră.
4. Implementați Controlul Aplicațiilor (WDAC/AppLocker)
Obiectiv: Preveniți rularea instrumentelor de clonare.
Pasul 1: Utilizați Windows Defender Application Control (WDAC) sau AppLocker pentru a bloca rularea fișierelor executabile (ex: IAmAntimalware.exe sau instrumente de clonare/modificare a registrului) care nu sunt necesare funcționării sistemului.
Pasul 2: Blocați sau restricționați utilizarea consolelor PowerShell și CMD de către utilizatorii standard.
5. Monitorizați Accesul la Certificate (CertClone)
Obiectiv: Detectați furtul semnăturilor digitale.
Pasul 1: Monitorizați accesul la sistemul de Certificate Trust (CertStore) și la cheile de registry asociate.
Pasul 2: Creați o regulă de alertare pentru orice tentativă neobișnuită de exportare sau duplicare a certificatelor digitale din sistem.
Pasul 3: Revizuiți periodic certificatele de încredere adăugate manual.
6. Aplicarea Politicii de Least Privilege
Obiectiv: Reduceți suprafața de atac pentru procesele auxiliare.
Pasul 1: Asigurați-vă că procesele auxiliare (ex: firewall, UI) ale soluției AV/EDR rulează cu privilegii cât mai mici (dacă este suportat de vendor).
Pasul 2: Nu acordați drepturi de scriere în directorul de instalare AV/EDR niciunui utilizator sau serviciu care nu necesită acest lucru.
7. Monitorizați Modificările PEB (Process Environment Block)
Obiectiv: Detectați tehnicile avansate de injectare și mascare.
Pasul 1: Utilizați o soluție EDR avansată cu capacități de analiză comportamentală la nivel de kernel/memorie.
Pasul 2: Creați reguli care semnalează orice tentativă de modificare a structurii de date PEB (Process Environment Block) de către procese externe.
8. Auditarea Utilizării CreateProcess și Handle-urilor
Obiectiv: Detectarea manipulării proceselor AV.
Pasul 1: Monitorizați apelurile API de tip CreateProcess sau încercările de a obține handle-uri cu drepturi sporite (Terminate, WriteMemory) către procesele AV/EDR.
Pasul 2: Alertați când un proces neautorizat încearcă să modifice sau să interacționeze cu procesul MsSense.exe (DFE) sau cu alte procese AV principale.
9. Izolarea PPL (Protected Process Light)
Obiectiv: Asigurați-vă că protecția AV este activă. PPL (Protected Process Light) este o funcționalitate de securitate introdusă de Microsoft în nucleul (kernel-ul) sistemului de operare Windows. Scopul său principal este de a proteja procesele critice de interferențe nedorite, inclusiv de atacurile care vin din procese care rulează cu privilegii administrative (Administrator sau chiar SYSTEM).
Pasul 1: Verificați pe toate endpoint-urile dacă PPL (Protected Process Light) este activ și funcțional pentru procesele critice ale soluției EDR/AV.
Pasul 2: Dezactivați funcționalitatea DNS over HTTPS (DoH) în browsere, deoarece aceasta poate interfera cu inspecția traficului de către EDR.
10. Colaborarea cu Furnizorul AV/EDR
Obiectiv: Implementarea rapidă a mitigărilor bazate pe vendor.
Pasul 1: Contactați furnizorul soluției dvs. AV/EDR pentru a verifica dacă au lansat patch-uri specifice sau reguli de detecție comportamentală împotriva tehnicilor RealBlindingEDR și IAmAntimalware.
Pasul 2: Asigurați-vă că semnăturile (signatures) de detecție sunt actualizate la zi.
Pentru mai multe sfaturi și informații despre securitatea cibernetică, vizitează regulat sigurantapenet.ro