Peisajul amenințărilor cibernetice evoluează constant, iar atacatorii vizează din ce în ce mai mult mecanismele de apărare la nivel de kernel. În acest context, o aplicație open-source, RealBlindingEDR, facilitează dezactivarea persistentă sau compromiterea vizibilității (blinding) soluțiilor de securitate EDR și Antivirus pe sistemele Windows, vizând inclusiv Windows Defender și Kaspersky. Aceasta se realizează prin ștergerea (clearing) a callback-urilor critice din kernel, care sunt mecanismele de monitorizare folosite de EDR pentru a urmări crearea de procese, modificările de registry și operațiunile cu fișiere.
Instrumentul exploatează drivere semnate și vulnerabile (ex: echo_driver.sys) pentru a obține permisiuni de citire/scriere în memorie la nivel de kernel, ocolind protecțiile precum PatchGuard. Prin acces direct la structurile interne ale kernel-ului, atacatorul poate elimina callback-urile (cum ar fi ObRegisterCallbacks sau PsSetCreateProcessNotifyRoutine), suprimând astfel capacitatea EDR-ului de a se auto-proteja și de a detecta activitatea malițioasă.
Simplitatea atacului (necesită doar un driver semnat și drepturi de administrator) a dus la adoptarea sa rapidă de către grupuri de ransomware precum Crypto24. Acest lucru permite atacatorilor să inițieze comenzi cu impact ridicat (precum ștergerea de fișiere sau încetarea funcționării EDR) fără a fi detectați de sistemele de alertă. Companiile trebuie să prioritizeze monitorizarea încărcărilor neobișnuite de drivere, aplicarea principiului Least Privilege și utilizarea unor soluții EDR avansate cu analiză comportamentală la nivel de kernel.
Sfaturi de Protectie
Notă: Implementarea acestor măsuri necesită un Administrator de Sistem sau de Securitate cu expertiză avansată în politici de securitate Windows (GPO/Intune), WFAS și sisteme SIEM/SOAR.
1. Implementați Controlul Aplicațiilor (WDAC/AppLocker) pentru Drivere
Obiectiv: Blocați încărcarea driverelor cunoscute ca fiind vulnerabile (BYOVD - Bring Your Own Vulnerable Driver).
Pasul 1: Identificați lista neagră (blacklist) a driverelor semnate și vulnerabile folosite în atacuri de tip BYOVD (ex: dbutil_2_3.sys, echo_driver.sys).
Pasul 2: Utilizați Windows Defender Application Control (WDAC) sau AppLocker pentru a crea o politică ce interzice executarea și încărcarea acestor fișiere (.sys).
Pasul 3: Aplicați politica pe toate stațiile de lucru și serverele, monitorizând în SIEM orice tentativă de încărcare a driverelor interzise (evenimente de blocare).
2. Monitorizați Încărcarea Driverelor Suspecte
Obiectiv: Detectați încărcarea oricărui driver nou sau suspect la nivel de kernel (DriverLoad).
Pasul 1: Asigurați-vă că EDR-ul sau Sysmon colectează evenimente de încărcare drivere (DriverLoad Events) la nivel de sistem.
Pasul 2: Creați o regulă de alertare în SIEM/EDR care semnalează imediat orice încărcare a unui fișier .sys care: provine dintr-o cale neobișnuită (\Users\, \AppData\, \Temp\), nu are o semnătură de încredere (Trusted Certificate) si este asociat cu un proces părinte (Parent Process) suspect.
Pasul 3: Prioritizați investigarea oricărui driver care nu face parte din lista albă (whitelist) a sistemului de operare sau a aplicațiilor de încredere.
3. Aplicați Principiul Least Privilege
Obiectiv: Preveniți atacatorul să obțină permisiunile de Administrator Local necesare pentru a încărca driverul.
Pasul 1: Setați toți utilizatorii să ruleze cu conturi de utilizator standard (Standard User) pentru activitățile zilnice: Windows - Accesați Setari > Conturi > Familie și alți utilizatori. Creați un Cont Local nou.
- Acțiune Cheie: Asigurați-vă că acest cont nou este setat ca Utilizator Standard. Folosiți acest cont nou pentru navigare, e-mail și munca obișnuită.
- De ce funcționează: Contul Standard nu poate instala drivere sau software care modifică sistemul, blocând automat atacul RealBlindingEDR.
- Scop: Limitează atacatorul la un nivel de permisiuni scăzut, prevenind executarea nativă a driverelor sau a altor fișiere care necesită drepturi de sistem.
Pasul 2: Utilizați soluții de Privilege Access Management (PAM) sau Local Admin Password Solution (LAPS) pentru a gestiona și roti parolele conturilor cu privilegii locale.
- Scop: Securizează credențialele de Administrator Local, împiedicând atacatorul să folosească tehnici simple de furt de parolă sau lateral movement pentru a escalada privilegiile.
Pasul 3: Implementați politici de securitate care interzic instalarea și încărcarea de software/drivere de către utilizatorii standard.
- Scop: Oferă un strat de apărare suplimentar (ex: WDAC/AppLocker) care blochează execuția codului malițios (driver.sys), chiar dacă atacatorul ar reuși să ocolească temporar alte restricții de privilegii.
4. Monitorizați Accesul la Structurile Kernel
Obiectiv: Detectați încercările de manipulare directă a memoriei kernel-ului.
Pasul 1: Configurați politica Windows pentru a înregistra tentativele de citire/scriere în memorie (Memory Access Events).
Pasul 2: Dacă EDR-ul sau NDR-ul suportă, creați reguli de detectare comportamentală care semnalează: apeluri API neobișnuite legate de manipularea handle-urilor sau a memoriei si orice activitate de proces care încearcă să acceseze sau să modifice structuri de date globale în spațiul kernel (ex: PsProcessType, FltGlobals).
5. Verificați Starea Procesului DFE
Obiectiv: Asigurarea unei metode fiabile de a detecta instantaneu starea de compromitere (blinding) sau dezactivare a agentului DFE (Defender for Endpoint), chiar și în situațiile în care indicatorii de stare raportează o funcționare normală (false-positive online status).Pasul 1: Implementați un sistem de verificare a stării (health check/heartbeat) independent de comunicarea standard a agentului DFE.
Pasul 2: Scriptul de verificare ar trebui să încerce periodic o acțiune blocată în mod normal de EDR (ex: ștergerea unui fișier protejat, crearea unui proces specific).
Pasul 3: Dacă acțiunea reușește, dar DFE nu generează alertă, semnalizați imediat dispozitivul ca fiind compromis/blindat și izolați-l (Validare Externă).
6. Securizați Accesul la Instrumentele de Debugging
Obiectiv: Blocați utilizarea instrumentelor care pot ajuta la analiza și ocolirea EDR.
Pasul 1: Folosiți WDAC/AppLocker (vezi Sfatul 1) pentru a bloca rularea instrumentelor de debugging (ex: WinDbg, OllyDbg) și a altor utilitare folosite în mod obișnuit de atacatori.
Pasul 2: Asigurarea unei monitorizări proactive și detaliate pentru detectarea oricărui eveniment asociat cu tentativele de instalare sau execuție a instrumentelor de manipulare a memoriei (memory tampering) sau de inginerie inversă (reverse engineering).
7. Monitorizați Crearea de Handle-uri (ObRegisterCallbacks Bypass)
Obiectiv: Detectați atacatorii care încearcă să închidă forțat procesele EDR.
Pasul 1: Activați auditarea detaliată pentru operațiunile cu handle-uri (Object Access Auditing).
Pasul 2: Creați o regulă SIEM/EDR care alertează la orice tentativă de terminare forțată (Terminate) sau închidere (Close Handle) a procesului principal al agentului DFE (MsSense.exe) de către un proces neașteptat (non-sistem).
8. Aplicați Securizarea la Nivel de Registry pentru Callback-uri
Obiectiv: Protejați integritatea cheilor de registry folosite de driverele de tip MiniFilter.
Pasul 1: Identificați cheile de registry utilizate de EDR pentru a înregistra MiniFilter-urile de monitorizare a fișierelor.
Pasul 2: Utilizați Registry Access Auditing (SACLs) pentru a monitoriza și bloca modificările (Write/Delete) asupra acestor chei de către procese neautorizate.
9. Asigurați-vă că Network Protection este Activ
Obiectiv: Mențineți o linie defensivă independentă la nivel de rețea.
Pasul 1: Confirmați prin GPO/Intune că Network Protection (din Defender) este setat în modul Block pe toate endpoint-urile.
Pasul 2: Network Protection operează la un nivel diferit și poate bloca comunicarea C2 (Command and Control) a malware-ului, chiar dacă EDR-ul este "orbit" în privința activității locale.
10. Testați Regulat Reziliența DFE (Red Team Exercise)
Obiectiv: Verificarea performanței măsurilor de securitate.
Pasul 1: Efectuați un test intern de tip Red Team, utilizând o variantă a instrumentului RealBlindingEDR (într-un mediu izolat/sandbox), pentru a confirma declanșarea detecției și a mecanismelor de răspuns ale DFE.
Pasul 2: Documentarea și remedierea oricăror puncte nevăzute (blind spots) identificate în monitorizarea driverelor, a memoriei kernel sau a manipulării handle-urilor.
Pentru mai multe sfaturi și informații despre securitatea cibernetică, vizitează regulat sigurantapenet.ro