I criminali informatici utilizzano il driver di Process Explorer per bloccare i software di sicurezza

I criminali informatici sono costantemente alla ricerca di nuove soluzioni per eludere le principali soluzioni antimalware installate sui sistemi e attive in azienda a livello centralizzato. Scoperto dai ricercatori di Sophos X-Ops, AuKill è una nuova minaccia che disabilita i software Endpoint Detection & Response (EDR) prima di attivare backdoor e impiantare ransomware sulle macchine delle vittime.

AuKill sfrutta la tecnica, già ampiamente nota, chiamata Bring Your Own Vulnerable Driver (BYOVD): l’attacco si basa sull’utilizzo di un driver legittimo, dotato di una firma digitale e in grado di funzionare con i privilegi kernel. Nel caso di specie, il malware installa innanzi tutto una versione vulnerabile del driver procexp.sys, parte integrante del noto software Microsoft Process Explorer.

Process Explorer è un’utilità più potente del Task Manager di Windows che risulta installata in molti sistemi aziendali dagli amministratori IT dell’impresa stessa. Tra le varie cose, Process Explorer consente di raccogliere informazioni sui processi attivi in Windows.

AuKill utilizza la versione vulnerabile del driver procexp.sys accanto a quella già presente sulla macchina e sfrutta, senza averne alcun diritto, i privilegi SYSTEM dei quali può normalmente godere il componente software alla base del funzionamento di Process Explorer. Il malware avvia quindi diversi thread per verificare periodicamente la presenza di processi e servizi legati al funzionamento dei software di sicurezza, provvede a disabilitarli usando proprio i privilegi SYSTEM e impedisce il loro successivo riavvio.

Sono state già osservate più versioni di AuKill in circolazione: gran parte di esse hanno portato a infezioni ransomware Medusa Locker e LockBit dall’inizio dell’anno.

Come spiegano i ricercatori di Sophos, AuKill appare molto simile a uno strumento open source chiamato Backstab che pure utilizza anche un driver di Process Explorer per disabilitare le soluzioni di sicurezza in esecuzione sui dispositivi. Backstab è stato precedentemente sviluppato dagli stessi autori di LockBit e gli esperti di Sophos confermano di averlo individuato in diversi attacchi. “Abbiamo trovato molteplici somiglianze tra lo strumento open source Backstab e AuKill“, affermano i ricercatori. “Alcune di queste somiglianze includono stringhe di debug simili, caratteristiche e una logica di flusso di codice quasi identica per interagire con il driver“.