DeadLock: вымогатель использует уязвимость драйвера Baidu (CVE-2024-51324)

Cisco Talos зафиксировал новую, технически изощрённую кампанию финансово мотивированных злоумышленников, связанная с программой-вымогателем DeadLock. Хакеры применяют технику BYOVD (Bring Your Own Vulnerable Driver), используя уязвимый драйвер антивируса Baidu (CVE-2024-51324) для вывода из строя средств защиты и обеспечения устойчивого доступа к жертвенным сетям.

Ключевые факты

  • Актор использует уязвимость CVE-2024-51324 в драйвере антивируса Baidu для отключения служб EDR (Endpoint Detection and Response).
  • Атаки инициируются через PowerShell с обходом UAC, отключением Windows Defender, остановкой критических обновлений и удалением shadow copies.
  • DeadLock нацелен на Windows и применяет собственный механизм шифрования с криптографическими ключами, основанными на времени.
  • Вариант DeadLock активен по крайней мере с июля 2025 года; оператор не публикует сайт утечек, вместо этого общается с жертвами через Session messenger.
  • Злоумышленники сохраняли доступ в сеть жертвы примерно пять дней до этапа шифрования и развёртывали удалённый доступ — AnyDesk — за день до шифрования.

Сценарий атаки — по шагам

По данным расследования, атака строится по следующему сценарию:

  • Эксплуатация уязвимого драйвера Baidu (BYOVD) — злоумышленник загружает и использует собственный уязвимый драйвер для обхода защитных механизмов хоста.
  • Отключение элементов защиты: через легитимный исполняемый файл SystemSettingsAdminFlows.exe изменяются параметры Windows Defender (реальное время, облачная защита), запускаются команды, запрещающие отправку подозрительных файлов для анализа.
  • Обход UAC и выполнение команд PowerShell, которые выключают защиту, останавливают обновления, удаляют shadow copies и прекращают критические процессы восстановления.
  • Установка AnyDesk для обеспечения удалённого постоянного доступа, после чего следует внутренняя разведка и латеральное перемещение в течение нескольких дней.
  • Развёртывание Ransomware — шифрование файлов с использованием кастомного криптографического механизма DeadLock и дальнейшее требование выкупа. Контакт с жертвами осуществляется через Session messenger, сайт с утечками не используется.

«Актор воспользовался уязвимостью в драйвере антивируса Baidu, обозначенной CVE-2024-51324, чтобы отключить службы обнаружения конечных точек и реагирования (EDR)».

Технические особенности DeadLock

Программа-вымогатель DeadLock демонстрирует ряд технических решений, направленных на эффективность шифрования и затруднение расследования:

  • Кастомный механизм шифрования с криптографическими ключами, основанными на времени — ключи генерируются с привязкой ко времени, что усложняет стандартные подходы к дешифровке.
  • Выборочное шифрование — злоумышленник целенаправленно шифрует типы файлов, минимизируя повреждение системы и снижая вероятность нарушений работы ОС — это повышает шансы на успешное получение выкупа.
  • Защита от криминалистики: стратегии, препятствующие восстановлению, включая удаление shadow copies и блокировку служб резервного копирования.
  • Эффективная реализация ввода/вывода: рекурсивный обход каталогов, использование memory-mapped I/O и многопоточности для быстрого шифрования больших объёмов данных.
  • В бинарном файле содержится большой конфигурационный блок — ~8 888 байт — который программа анализирует во время выполнения для определения операционных протоколов.
  • Реализация криптографии отличается от стандартных Windows cryptographic API, что усложняет обнаружение и анализ с помощью привычных инструментов.

Значение манипуляций с защитой

Особое внимание привлекает использование легитимных системных инструментов и драйверов для подрыва защиты: запуск SystemSettingsAdminFlows.exe для изменения настроек, применение BYOVD и отключение отправки образцов затрудняют своевременное обнаружение и анализ атак. Это согласуется с современной тактикой атакующих, стремящихся использовать «living off the land» подходы и легитимные компоненты ОС.

Рекомендации для защиты

  • Обновить и патчить драйверы и ПО — особенно обратить внимание на защитные решения и их драйверы (предмет CVE-2024-51324).
  • Ограничить запуск непроверенных драйверов и контролировать установку инструментов удалённого доступа (AnyDesk и аналоги).
  • Мониторить использование SystemSettingsAdminFlows.exe и необычные изменения параметров Windows Defender и отправки образцов на анализ.
  • Ограничить возможности выполнения сценариев через PowerShell, включить логирование и детектирование команд с повышенными привилегиями и с обходом UAC.
  • Обеспечить изолированные и проверяемые резервные копии, хранящиеся вне сети, чтобы снизить влияние удаления shadow copies.
  • Проверять телеметрию на аномалии: длительное присутствие в сети (несколько дней), нетипичная внутренняя разведка и перемещения до точки шифрования.

Расследование Cisco Talos подчёркивает, что современные Ransomware-операторы активно комбинируют эксплуатацию уязвимостей драйверов, легитимные системные утилиты и продвинутые методы шифрования. Это требует от организаций усиления контроля за драйверами, мониторинга поведения процессов и своевременного обновления систем безопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: