Des chercheurs ont découvert un nouveau logiciel malveillant qui est resté sous le radar pendant un certain temps. Identifié sous le nom d'AuKill, il s'agit d'un puissant malware EDR kill qui tire parti de BYOVD pour désactiver les clients EDR. Les pirates ont déjà utilisé cet outil dans de récentes attaques de ransomware.
Le logiciel malveillant AuKill désactive les CED via BYOVD
Selon un récent billet de Sophos, leurs chercheurs ont trouvé un malware jusqu'alors non signalé et activement utilisé dans la nature.
Identifié sous le nom de “AuKill”, le malware permet aux attaquants de désactiver les clients EDR afin d'échapper à la sécurité des systèmes cibles.
En bref, AuKill exploite la technique BYOVD (Bring Your Own Vulnerable Driver) pour désactiver l'EDR. Il utilise l'ancienne version du pilote que l'utilitaire Microsoft “Process Explorer” version 16.32 utilisait.
Plus précisément, le logiciel malveillant dépose l'ancienne version du pilote PROCEXP.SYS dans le chemin C:\NWindows\NSystem32\Ndrivers – l'emplacement où la version légitime du pilote existe également. Il tue ensuite le pilote légitime pour le remplacer par le pilote (désormais) malveillant. En outre, AuKill dépose également sa copie exécutable dans le dossier temporaire du système pour l'exécuter en tant que service.
Une fois que c'est fait, il exécute la charge utile avec les privilèges d'administrateur que les attaquants pourraient obtenir par d'autres moyens. (Le logiciel malveillant ne s'exécute pas sans les privilèges d'administrateur – une condition obligatoire qu'AuKill vérifie à l'étape initiale).
Après avoir rempli toutes ses exigences, AuKill désactive ensuite l'EDR en démarrant une séquence de threads pour maintenir le service désactivé.
Logiciels malveillants déjà utilisés dans des attaques actives
Les chercheurs ont remarqué qu'AuKill jouait un rôle actif dans des campagnes récentes de ransomware. Ces deux-là incluent les incidents de ransomware Medusa Locker qui se sont produits en janvier et février 2023 et une attaque de ransomware LockBit en février.
Jusqu'au moment de la divulgation, Sophos a découvert six variantes différentes du malware AuKill, ce qui indique les améliorations progressives de ses fonctionnalités malveillantes.
Néanmoins, AuKill ne semble pas unique, car l'analyse du malware a révélé de nombreuses similitudes avec l'outil open-source Backstab, qui a également été utilisé de manière abusive dans des campagnes malveillantes. Il semble donc que les auteurs du logiciel malveillant aient utilisé plusieurs extraits de code de Backstab pour créer leur propre outil.
Pour prévenir AuKill et d'autres menaces de ce type impliquant BYOVD, les chercheurs conseillent aux utilisateurs de maintenir leurs systèmes à jour. De plus, les utilisateurs doivent déployer des mesures de protection des points d'extrémité, d'autoprotection et de gestion des vulnérabilités afin de prévenir de telles attaques.
Fais-nous part de tes réflexions dans les commentaires.
