En ny ransomware-variant kaldet GodDamn skaber overskrifter for en teknik, der bør bekymre enhver, som antager, at deres antivirussoftware har det sidste ord over, hvad der kører på deres maskine. Ifølge rapportering fra Dark Reading bruger angriberne bag GodDamn en ondsindet kernedriver, som Microsoft selv har signeret, og forvandler et betroet digitalt certifikat til et våben mod netop de sikkerhedsværktøjer, der skal stoppe det. Dette er et skoleeksempel på et BYOVD-angreb, en forkortelse for 'Bring Your Own Vulnerable Driver', og det er ved at blive et af de mest pålidelige tricks i en ransomware-operatørs værktøjskasse.
Hvad der skete
GodDamn ransomware har ramt amerikanske virksomheder ved at implementere en driver på kerneniveau, der bærer en legitim Microsoft-signatur. Fordi Windows stoler på, at signerede drivere kan operere dybt inde i operativsystemet, var denne driver i stand til at slippe forbi forsvar og afslutte sikkerhedssoftware, før ransomware-nyttelasten overhovedet blev udført. Når endpoint-beskyttelsen er deaktiveret, kan angriberne frit kryptere filer og bevæge sig gennem et netværk stort set uopdaget. Det faktum, at Microsoft signerede driveren i første omgang, er den mest slående detalje her: det betyder, at den ondsindede kode ikke behøvede at udnytte en fejl i Windows så meget som at udnytte den tillid, der er indbygget i selve signeringsprocessen.
Hvordan BYOVD omgår din sikkerhedsstak
Kernedrivere opererer på det højeste privilegieniveau på en Windows-maskine, effektivt under det lag, hvor de fleste antivirus- og endpoint-detektionsværktøjer kører. Det er netop derfor, angribere ønsker en. En driver med en gyldig signatur udløser ikke den samme kontrol, som en usigneret eller ukendt eksekverbar fil ville gøre, så den kan indlæses stille og roligt og derefter bruges til at deaktivere, blinde eller dræbe andre sikkerhedsprocesser, der kører på systemet.
Dette rækker ud over traditionel antivirus. VPN-klientsoftware, DNS-filtreringsværktøjer og andre privatlivs- eller sikkerhedsapplikationer kører også som processer på det samme operativsystem, og de kan være lige så sårbare over for at blive lukket ned af en angriber på kerneniveau, der allerede har den grad af kontrol. En VPN krypterer din trafik og kan hjælpe med at forhindre visse former for netværkssnageri, men den var aldrig designet til at forhindre en ondsindet driver i at deaktivere sikkerhedssoftware på OS-niveau. Når en angriber først har kerneadgang, opererer de under det niveau, hvor de fleste forbruger- og virksomhedssikkerhedsværktøjer kan se dem, hvilket er præcis grunden til, at lagdelt forsvar er vigtigt i stedet for at stole på et enkelt værktøj.
BYOVD er ikke nyt, men det er blevet en foretrukken teknik, netop fordi det fungerer så godt mod moderne forsvar. Ransomware-operatører bygger i stigende grad denne funktionalitet direkte ind i deres malware i stedet for at behandle det som et separat værktøj, der implementeres på forhånd, hvilket fremskynder angreb og gør detektion sværere. Det bredere mønster med angribere, der bevæger sig hurtigt, når de først finder noget, der virker, er synligt på tværs af ransomware-landskabet lige nu. Afpresningsgrupper har også vist vilje til at slå hurtigt mod kritisk infrastruktur, som set da SpaceBears ramte en fransk teleoperatør tidligere i år, og store datatyverioperationer som den, ShinyHunters hævdede mod NAIC, viser, hvor meget data der er på spil, når de indledende forsvar først fejler.
Hvorfor dette betyder noget for din enhedssikkerhed
Den centrale lære fra GodDamn handler ikke om ransomware isoleret set, det handler om skrøbeligheden i tillidsbaserede sikkerhedsmodeller. Signeret kode, verificerede certifikater og leverandørgodkendelse er alle ment som signaler om sikkerhed, men angribere bliver ved med at finde måder at misbruge netop disse signaler på. Hastighed er også en faktor. Ligesom angribere rykkede hurtigt for at kompromittere titusindvis af servere efter en kritisk cPanel-autentificeringsomgåelsessårbarhed blev offentliggjort, er ransomware-grupper hurtige til at operationalisere enhver teknik, herunder ondsindede signerede drivere, der giver dem en fordel over for forsvarere.
For almindelige brugere såvel som IT-administratorer understreger dette et simpelt punkt: et enkelt sikkerhedslag, hvad enten det er antivirus, en VPN eller en firewall, er ikke nok i sig selv. Forsvar i dybden, hvilket betyder flere overlappende beskyttelser, forbliver den mest realistiske måde at reducere risiko på, når angribere aktivt finder veje uden om en enkelt kontrol.
Hvad dette betyder for dig
Hvis du administrerer Windows-systemer, hvad enten derhjemme eller i en virksomhed, er GodDamn-ransomwarekampagnen en påmindelse om at holde håndhævelse af driversignering, endpoint-detektion og patch-administration opdateret. Windows har mekanismer til at blokere kendte dårlige drivere, og at holde disse forsvar opdaterede er afgørende, da angribere er afhængige af forældede blokeringslister for at snige sårbare drivere forbi detektion.
En VPN forbliver en værdifuld del af dit privatlivs- og sikkerhedsværktøjssæt, især til at kryptere trafik på upålidelige netværk og begrænse eksponering for visse former for overvågning, men den bør forstås som ét lag blandt flere snarere end et komplet forsvar mod sofistikeret malware. At kombinere en velrenommeret VPN med opdateret antivirussoftware, rettidige OS-patches og forsigtig håndtering af downloads og e-mailvedhæftninger giver dig en meget stærkere samlet holdning end at stole på et enkelt værktøj.
Handlingsrettede anbefalinger
Hold Windows og al sikkerhedssoftware fuldt opdateret, da Microsoft med jævne mellemrum opdaterer sin blokeringsliste over sårbare drivere for at lukke huller som dette. Aktivér hukommelsesintegritet og kerneisolationsfunktioner i Windows Sikkerhedsindstillinger, hvor det understøttes, da disse kan gøre BYOVD-angreb sværere at gennemføre. Tag regelmæssig backup af kritiske data, og opbevar kopier offline, så ransomware-kryptering ikke kan holde dine filer som gidsler. Behandl din VPN som en del af en bredere sikkerhedsstrategi snarere end et selvstændigt skjold, og par den med endpoint-beskyttelse og sikre browservaner. Hold dig endelig informeret om nye BYOVD- og ransomware-teknikker, da forståelse af, hvordan angribere omgår tillidsbaserede forsvar, er det første skridt mod at lukke disse huller, før de når dig.




