ABYSSWORKER: Новый драйвер для атаки на EDR-системы

В последнее время в мире кибербезопасности наблюдается рост числа атак, направленных на системы защиты от вредоносных программ. В этом контексте становится особенно актуальным обсуждение нового вредоносного драйвера ABYSSWORKER, который используется в рамках программы-вымогателя MEDUSA. Данный инструмент создан для эффективного отключения средств защиты, нацеленных на системы обнаружения конечных точек и реагирования на них (EDR).

Основные характеристики ABYSSWORKER

ABYSSWORKER представляет собой часть финансово мотивированной киберкампании, поставляемой с помощью загрузчика под названием HEARTCRYPT. Этот загрузчик упакован и использует отозванный сертификат, подписанный китайским поставщиком. Важные факты об ABYSSWORKER:

• Похож на ранее зарегистрированный EDR-нейтрализатор, идентифицированный ConnectWise, однако отличается сертификатом.
• Способен скрытно выполнять различные операции, используя комбинацию непрозрачных предикатов и функций вывода.
• Удаляет существующие дескрипторы клиентских процессов, перебирая идентификаторы процессов (PID).

Методы работы ABYSSWORKER

Данный вредоносный драйвер отправляет запросы управления вводом-выводом различным обработчикам, что позволяет:

• Манипулировать файлами.
• Завершать процессы или драйверы.

ABYSSWORKER использует API ядра для загрузки необходимых глобальных структур во время инициализации. Важно отметить, что он также устанавливает флаги, сигнализирующие о доступности этих API, что указывает на готовность к выполнению вредоносных действий.

Способы манипуляции файлами

Для работы с файлами ABYSSWORKER использует механизм запросов ввода-вывода (IRP), что позволяет ему:

• Открывать, считывать и записывать файлы вручную через IRPs.
• Удалять целевые файлы без срабатывания стандартных средств защиты, изменяя их атрибуты и расположение.

Устранение защиты EDR

Кроме манипуляции с файлами, ABYSSWORKER обладает функциями, которые позволяют ему блокировать продукты EDR:

• Поиск и удаление зарегистрированных обратных вызовов уведомлений из критически важных API.
• Отключение устройств, связанных с драйверами мини-фильтров.
• Постановка асинхронных вызовов процедур (APC) для завершения целевых потоков.

ABYSSWORKER может восстанавливать исходные функциональные возможности драйвера, заменяя любые перехватчики из драйверов NTFS и PNP, которые могли быть изменены продуктами безопасности.

Заключение

Таким образом, ABYSSWORKER выступает как сложный инструмент в цепочке атак программ-вымогателей MEDUSA. Способность данного драйвера отключать EDR и манипулировать системными функциями подчеркивает серьезные проблемы, с которыми сталкиваются организации при защите своих информационных систем от постоянно растущих угроз со стороны хакеров.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.