BlackCat Ransomware는 새로운 서명 된 커널 드라이버를 배포

요약:
2022년 12월 말, Mandiant, Sophos 및 Sentinel One이 Microsoft 하드웨어 개발자 계정에서 서명된 악의적 커널 드라이버를 공개하여 여러 사이버 공격에 사용되었고, Microsoft는 이를 철회했다. 2023년 2월 BlackCat 랜섬웨어 사건이 발생하여 새로운 기능을 관찰하여 초기 악성 운전자와 겹치는 것을 관찰했고, 그들은 방어 회피 단계에서 다양한 기술을 사용하여 도구를 비활성화하거나 안전 모드 부팅으로 기술을 사용하여 방어를 손상시키는 것으로 밝혀졌다. 이 새로운 커널 드라이버는 이전 연구에 공개된 샘플에서 주요 기능을 물려받은 업데이트 된 버전이라고 판단되며 보호된 시스템에 배포된 보안 에이전트를 제어하기 위해 사용됐다. 2022년 12월 말, Mandiant, Sophos 및 Sentinel One이 Microsoft 하드웨어 개발자 계정에서 서명된 악의적 커널 드라이버를 공개하여 여러 사이버 공격에 사용되었고, Microsoft는 이를 철회했다. 2023년 2월 BlackCat 랜섬웨어 사건이 발생하여 새로운 기능을 관찰하고, 초기 악성 운전자와 겹치는 것을 관찰하며 방어 회피 단계에서 다양한 기술

내용:
경영진 요약
2022 년 12 월 말, Mandiant, Sophos 및 Sentinel One은 조정 된 공개를 통해 여러 Microsoft 하드웨어 개발자 계정 (Microsoft의 Hardware Developer Program에서 인증)을 통해 악의적 인 커널 드라이버가 서명되었다고보고했습니다.이 프로파일은 랜섬웨어 기반 사고를 포함한 여러 사이버 공격에 사용되었습니다.Microsoft는 그 후 이러한 공격으로 남용 된 여러 Microsoft 하드웨어 개발자 계정을 철회했습니다.
이 블로그 게시물에서, 우리는 2023 년 2 월에 발생한 BlackCat 랜섬웨어 사건에 대한 세부 정보를 제공 할 것입니다. 여기서 우리는 주로 방어 회피 단계에 사용 된 새로운 기능을 관찰하여 세 공급 업체가 공개 한 초기 악성 운전자와 겹치는 새로운 기능을 관찰 할 것입니다.BlackCat Affiliates는 방어 회피 단계에서 여러 기술을 사용하는 것으로 알려져 있으며, 도구를 비활성화하고 수정하거나 안전 모드 부팅으로 기술을 사용하여 방어를 손상시킵니다.
우리의 분석은이 새로운 기능을 밝히며, 여기에는 회피에 서명 된 커널 드라이버를 사용하는 것이 포함됩니다.우리는이 새로운 커널 드라이버가 이전 연구에 공개 된 샘플에서 주요 기능을 물려받은 업데이트 된 버전이라고 생각합니다.드라이버는 보호 된 시스템에 배포 된 보안 에이전트와 관련된 대상 엔드 포인트의 다양한 프로세스를 제어, 일시 중지 및 킬을 시도하여 별도의 사용자 클라이언트 실행 파일과 함께 사용되었습니다.
악의적 인 행위자는 다양한 접근 방식을 사용하여 악의적 인 커널 드라이버에 서명합니다. 일반적으로 Microsoft 서명 포털을 남용하거나 유출 및 도난당한 인증서를 사용하거나 지하 서비스를 사용합니다.우리의 경우, 공격자들은 Mandiant가 공개 한 오래된 드라이버를 배치하려고 시도했는데, 이는 Microsoft를 통해 서명 된 Mandiant (SHA256 : B2F955B3E6107F831EBE6797F8586D4FE9F3E98)를 배치하려고 시도했습니다.이 드라이버는 이미 이전에 알려지고 감지되었으므로 악의적 인 배우는 도난 당하거나 유출 된 교차 서명 인증서로 서명 한 다른 커널 드라이버를 배치했습니다.트렌드 마이크로는 계속 모니토입니다.....

Open New Windows

BlackCat Ransomware는 새로운 서명 된 커널 드라이버를 배포:
https://www.trendmicro.com/en_us/research/23/e/blackcat-ransomware-deploys-new-signed-kernel-driver