你死我活！Kasseika勒索软件利用驱动程序功能来杀死防病毒软件

趋势科技的网络安全研究人员最近发现，威胁行为者正在积极利用驱动程序功能来杀死防病毒软件。继2023年勒索软件组织发起的自带漏洞驱动程序(BYOVD)攻击增多之后，Kasseika勒索软件是最新采用这种策略的勒索软件攻击组织之一。Kasseika与Akira、BlackByte和AvosLocker一起使用允许威胁行为者终止防病毒进程和服务以部署勒索软件的策略。在趋势调查的这个案例中，Kasseika勒索软件滥用Martini驱动程序来终止受害计算机的防病毒相关进程。据悉，Kasseika很可能是由BlackMatter组织的前成员或购买其代码的经验丰富的勒索软件攻击者构建的。 

Kasseika勒索软件简介

Kasseika勒索软件采用新的策略实施勒索操作，即使用“自带易受攻击的驱动程序”策略在加密文件之前禁用防病毒软件。Kasseika利用Martini驱动程序 (Martini.sys/viragt64.sys)（TG Soft的VirtIT 代理系统的一部分）来禁用保护目标系统的防病毒产品。

Kasseika的受害者被要求在72小时内存入50个比特币（约2,000,000美元），每延迟24小时解决问题，就会额外增加500,000美元。

对Kasseika勒索软件攻击链的分析中，趋势科技观察到类似于BlackMatter勒索软件的指标。这些指标包括伪勒索扩展以及使用扩展string.README.txt作为勒索票据文件名和格式。  

仔细观察发现，BlackMatter使用的大部分源代码都用于这次攻击。根据趋势的研究，BlackMatter源代码并未广泛获得，因此它在Kasseika勒索软件攻击中的使用表明有限群体中的成熟攻击者获取或购买了其访问权限。 

BlackMatter是从DarkSide重生而来，众所周知，DarkSide已被用作ALPHV的基础，更普遍地称为BlackCat。自2021年关闭以来，其他勒索软件组织已被发现使用与BlackMatter类似的技术和工具，而一组更独特的勒索软件运营商能够访问其旧代码并将其应用于新病毒。

KASSEIKA勒索软件攻击链

网络攻击者经常使用网络钓鱼电子邮件来获得对网络的初始访问权限。接下来，他们使用远程控制木马(RAT)在网络中移动并获得特权访问。这些攻击者通常使用Microsoft的Sysinternals PsExec命令行实用程序来实施攻击。为了找到名为“Martini.exe”的进程并阻止它，攻击者会执行恶意批处理脚本。这可确保机器上仅运行一个流程实例。

Kasseika的感染链

防御规避

经过初步准备后，攻击者从远程服务器下载并运行名为“Martini.sys”的驱动程序。该驱动程序最多可以禁用991个与安全相关的元素。需要注意的是，“Martini.sys”是一个合法的、签名的驱动程序，名为“viragt64.sys”。现在，它已被添加到微软的易受攻击的驱动程序黑名单中。如果恶意软件找不到“Martini.sys”，它将自行终止并且不再继续攻击。因此，整个攻击依赖于这个特定驱动程序的存在。

执行有效负载

执行“Martini.exe”后，勒索软件负载“smartscreen_protected.exe”使用ChaCha20和RSA算法对所有文件进行加密。它还终止访问Windows重新启动管理器的所有进程和服务。加密完成后，每个已加密的目录中都会留下勒索字条。此外，系统的壁纸被修改为显示一张纸条，要求在72小时内向钱包地址支付50个比特币。未能遵守此要求将导致在截止日期过后每24小时收取500,000美元的额外费用。

Kasseika勒索软件设置的壁纸

清除痕迹

受害者必须将成功付款的屏幕截图发布到攻击者控制的Telegram群组才能接收解密器。Kasseika勒索软件还使用wevtutil.exe二进制文件清除系统的事件日志，以删除其活动的任何痕迹。这种技术的运行非常谨慎，使得安全工具识别和响应恶意活动变得更具挑战性。

安全建议

组织应实施多层方法来防范Kasseika和其他恶意软件。特别要落实好如下三个方面的措施：

增强电子邮件安全性。组织必须实施强大的电子邮件过滤器来检测和阻止网络钓鱼尝试。此外，教育员工识别网络钓鱼和其他网络威胁也至关重要。定期培训课程可以帮助他们识别网络钓鱼电子邮件和恶意网站，从而显着降低感染风险。

实施EDR零信任策略。在零信任安全框架内实施EDR涉及对端点的持续监控和验证，以及实施严格的访问控制，以最大限度地降低网络内横向移动的风险。这种集成增强了安全态势并防范网络威胁和勒索软件。

定期更新和打补丁。由于软件漏洞是企业网络安全的主要问题，因此安装补丁是弥补该漏洞的最佳选择。与赎金金额和声誉损失相比，安装更新所花费的成本微不足道。跟踪您所使用的软件供应商发布的最新消息和补丁，以确保第一时间应用补丁。

BYOVD是什么？

BYOVD代表“自带易受攻击的驱动程序”，是攻击者用来危害目标系统的一种技术。在这种方法中，攻击者依赖于利用与有效负载一起到达系统的易受攻击的驱动程序。由于驱动程序受到安全软件的信任，因此不会检测或阻止它们。

这些驱动程序通常是内核模式驱动程序，允许攻击者将权限升级到对系统资源的最高访问和控制级别。这种技巧使攻击者能够禁用端点安全软件并逃避检测。一旦安全防御遭到破坏，攻击者就可以毫无阻碍地进行恶意活动。

参考资源：

1.https://www.trendmicro.com/en_us/research/24/a/kasseika-ransomware-deploys-byovd-attacks-abuses-psexec-and-expl.html

2.https://gridinsoft.com/blogs/kasseika-ransomware-byovd-attack/

3.https://cybermaterial.com/kasseika-ransomware-evades-antivirus/

原文来源：长扬科技

“

原文始发于微信公众号（CNCERT国家工程研究中心）：你死我活！Kasseika勒索软件利用驱动程序功能来杀死防病毒软件