Nowy szczep ransomware o nazwie GodDamn trafia na czołówki gazet ze względu na technikę, która powinna zaniepokoić każdego, kto zakłada, że jego oprogramowanie antywirusowe ma ostateczny głos w kwestii tego, co działa na komputerze. Według doniesień Dark Reading, atakujący stojący za GodDamn używają złośliwego sterownika jądra, który został podpisany przez sam Microsoft, zamieniając zaufany certyfikat cyfrowy w broń przeciwko narzędziom bezpieczeństwa, które miały go powstrzymać. To podręcznikowy przykład ataku BYOVD, skrót od „Bring Your Own Vulnerable Driver” (przynieś swój własny podatny sterownik), i staje się jedną z najbardziej niezawodnych sztuczek w podręczniku operatorów ransomware.

Co się stało

Ransomware GodDamn atakuje firmy w USA, wdrażając sterownik na poziomie jądra, który posiada legalny podpis Microsoftu. Ponieważ system Windows ufa podpisanym sterownikom, że działają głęboko w systemie operacyjnym, ten sterownik mógł prześlizgnąć się obok zabezpieczeń i wyłączyć oprogramowanie bezpieczeństwa, zanim ładunek ransomware w ogóle został uruchomiony. Gdy ochrona punktów końcowych jest wyłączona, atakujący mogą swobodnie szyfrować pliki i poruszać się po sieci w dużej mierze niewykryci. Fakt, że Microsoft podpisał ten sterownik, jest tu najbardziej uderzającym szczegółem: oznacza to, że złośliwy kod nie tyle wykorzystał lukę w systemie Windows, ile raczej wykorzystał zaufanie do samego procesu podpisywania.

Jak BYOVD omija twój stos zabezpieczeń

Sterowniki jądra działają na najwyższym poziomie uprawnień na maszynie z systemem Windows, skutecznie poniżej warstwy, na której działa większość programów antywirusowych i narzędzi do wykrywania zagrożeń punktów końcowych. Właśnie dlatego atakujący chcą takiego sterownika. Sterownik z ważnym podpisem nie wywołuje takiej samej kontroli, jaką uruchomiłby niepodpisany lub nieznany plik wykonywalny, więc może załadować się po cichu, a następnie zostać użyty do wyłączenia, oślepienia lub zabicia innych procesów bezpieczeństwa działających w systemie.

Ma to znaczenie poza tradycyjnymi programami antywirusowymi. Oprogramowanie klienta VPN, narzędzia do filtrowania DNS i inne aplikacje prywatności lub bezpieczeństwa również działają jako procesy w tym samym systemie operacyjnym i mogą być równie podatne na wyłączenie przez atakującego na poziomie jądra, który już ma taki poziom kontroli. VPN szyfruje ruch i może pomóc zapobiec pewnym rodzajom podsłuchu sieciowego, ale nigdy nie został zaprojektowany do powstrzymania złośliwego sterownika przed wyłączeniem oprogramowania bezpieczeństwa na poziomie systemu operacyjnego. Gdy atakujący uzyska dostęp do jądra, działa poniżej miejsca, gdzie większość konsumenckich i korporacyjnych narzędzi bezpieczeństwa może go zobaczyć, i właśnie dlatego warstwowa obrona ma znaczenie, zamiast polegania na jednym narzędziu.

BYOVD nie jest nowością, ale stała się ulubioną techniką właśnie dlatego, że działa tak dobrze przeciwko nowoczesnym zabezpieczeniom. Operatorzy ransomware coraz częściej budują tę zdolność bezpośrednio w swoje złośliwe oprogramowanie, zamiast traktować ją jako osobne narzędzie wdrażane wcześniej, co przyspiesza ataki i utrudnia wykrycie. Szerszy wzorzec szybkiego działania atakujących, gdy znajdą coś, co działa, jest widoczny w całym krajobrazie ransomware. Grupy szantażujące wykazały również gotowość do szybkiego uderzenia w infrastrukturę krytyczną, co widzieliśmy, gdy SpaceBears zaatakowało francuskiego operatora telekomunikacyjnego wcześniej w tym roku, a operacje kradzieży danych na dużą skalę, takie jak ta, do której przyznali się ShinyHunters przeciwko NAIC, pokazują, jak wiele danych jest zagrożonych, gdy zawodzą pierwsze linie obrony.

Dlaczego ma to znaczenie dla bezpieczeństwa twojego urządzenia

Główna lekcja z GodDamn nie dotyczy ransomware w izolacji, ale kruchości modeli bezpieczeństwa opartych na zaufaniu. Podpisany kod, zweryfikowane certyfikaty i zgoda dostawcy mają sygnalizować bezpieczeństwo, ale atakujący ciągle znajdują sposoby na nadużywanie tych właśnie sygnałów. Szybkość również jest czynnikiem. Tak jak atakujący szybko przystąpili do kompromitacji dziesiątek tysięcy serwerów po ujawnieniu krytycznej luki umożliwiającej ominięcie uwierzytelniania w cPanel, tak grupy ransomware szybko operacjonalizują każdą technikę, w tym złośliwe podpisane sterowniki, która daje im przewagę nad obrońcami.

Dla zwykłych użytkowników i administratorów IT to wzmacnia prosty punkt: pojedyncza warstwa bezpieczeństwa, czy to antywirus, VPN czy zapora ogniowa, sama w sobie nie wystarczy. Obrona w głąb, czyli wiele nakładających się zabezpieczeń, pozostaje najbardziej realistycznym sposobem na zmniejszenie ryzyka, gdy atakujący aktywnie znajdują sposoby na obejście każdego pojedynczego mechanizmu kontrolnego.

Co to oznacza dla ciebie

Jeśli zarządzasz systemami Windows, czy to w domu, czy w środowisku biznesowym, kampania ransomware GodDamn jest przypomnieniem, aby egzekwowanie podpisywania sterowników, wykrywanie punktów końcowych i zarządzanie poprawkami było aktualne. Windows ma mechanizmy blokowania znanych złych sterowników, a utrzymywanie tych zabezpieczeń w aktualności jest niezbędne, ponieważ atakujący polegają na nieaktualnych listach blokowania, aby przemycić podatne sterowniki obok wykrywania.

VPN pozostaje cenną częścią zestawu narzędzi prywatności i bezpieczeństwa, szczególnie do szyfrowania ruchu w niezaufanych sieciach i ograniczania narażenia na pewne formy nadzoru, ale należy go rozumieć jako jedną warstwę spośród kilku, a nie kompletną obronę przed zaawansowanym złośliwym oprogramowaniem. Połączenie renomowanego VPN z aktualnym oprogramowaniem antywirusowym, terminowymi poprawkami systemu operacyjnego i ostrożnym obchodzeniem się z pobranymi plikami i załącznikami do wiadomości e-mail daje znacznie silniejszą ogólną postawę niż poleganie na jednym narzędziu.

Praktyczne wnioski

Utrzymuj system Windows i całe oprogramowanie bezpieczeństwa w pełni zaktualizowane, ponieważ Microsoft okresowo aktualizuje swoją listę blokowanych podatnych sterowników, aby zamykać takie luki. Włącz funkcje integralności pamięci i izolacji rdzenia w ustawieniach zabezpieczeń systemu Windows, tam gdzie są obsługiwane, ponieważ mogą one utrudnić przeprowadzenie ataków BYOVD. Regularnie twórz kopie zapasowe krytycznych danych i przechowuj kopie offline, aby szyfrowanie ransomware nie mogło przetrzymywać twoich plików jako zakładników. Traktuj VPN jako część szerszej strategii bezpieczeństwa, a nie samodzielną tarczę, łącząc go z ochroną punktów końcowych i nawykami bezpiecznego przeglądania. Na koniec, bądź na bieżąco z pojawiającymi się technikami BYOVD i ransomware, ponieważ zrozumienie, w jaki sposób atakujący omijają zabezpieczenia oparte na zaufaniu, jest pierwszym krokiem do zamknięcia tych luk, zanim dotrą do ciebie.