Cyberthreat.id – AuKill menjadi senjata ampuh bagi pelaku ancaman untuk menonaktifkan perangkat lunak endpoint detection and response (EDR) melalui serangan Bring Your Own Rentan Driver (BYOVD). AuKill adalah alat penghindaran pertahanan yang sebelumnya tak berdokumen.

"Alat AuKill menyalahgunakan versi usang dari driver yang digunakan oleh versi 16.32 dari utilitas Microsoft, Process Explorer, untuk menonaktifkan proses EDR sebelum menyebarkan backdoor atau ransomware pada sistem target," kata peneliti Sophos Andreas Klopsch dalam sebuah laporan yang diterbitkan akhir pekan sebagaimana dikutip The Hacker News. 

Insiden yang dianalisis oleh perusahaan keamanan siber menunjukkan penggunaan AuKill sejak awal 2023 untuk menyebarkan berbagai jenis ransomware seperti Medusa Locker dan LockBit. “Enam versi malware yang berbeda telah diidentifikasi hingga saat ini. Sampel AuKill tertua menampilkan stempel waktu kompilasi November 2022,” tulis The Hacker News.

Disebutkan, teknik BYOVD bergantung pada pelaku ancaman yang menyalahgunakan driver yang sah, tetapi kedaluwarsa dan dapat dieksploitasi, yang telah di-signed oleh Microsoft (atau menggunakan sertifikat yang dicuri atau bocor) untuk mendapatkan hak istimewa yang lebih tinggi dan mematikan mekanisme keamanan.

Dengan menggunakan driver yang sah dan dapat dieksploitasi, tulis The Hacker News, idenya adalah untuk mem-bypass perlindungan kunci Windows yang dikenal sebagai Driver Signature Enforcement yang memastikan driver mode kernel telah di-signed oleh otoritas penandatanganan kode yang valid sebelum diizinkan untuk dijalankan.

"Alat AuKill membutuhkan hak administratif untuk bekerja, tetapi tidak dapat memberikan hak istimewa tersebut kepada penyerang," catat peneliti Sophos. "Aktor ancaman yang menggunakan AuKill memanfaatkan hak istimewa yang ada selama serangan, ketika mereka mendapatkannya melalui cara lain."

Ini bukan pertama kalinya driver Proses Explorer yang di-signed Microsoft dipersenjatai dalam serangan. Pada November 2022, Sophos juga merinci penggunaan alat sumber terbuka yang disebut Backstab oleh afiliasi LockBit yang menyalahgunakan versi lama driver untuk menghentikan proses anti-malware yang dilindungi.

Kemudian awal tahun ini, kampanye malvertising terlihat menggunakan driver yang sama untuk mendistribusikan .NET loader bernama MalVirt untuk menyebarkan malware pencuri informasi FormBook.

Perkembangan tersebut terjadi ketika Pusat Tanggap Darurat Keamanan AhnLab (ASEC) AS mengungkapkan bahwa server MS-SQL yang dikelola dengan buruk sedang dipersenjatai untuk menginstal ransomware Trigona, yang berbagi tumpang tindih dengan strain lain yang disebut CryLock.

Ini juga mengikuti temuan bahwa aktor Play ransomware (alias PlayCrypt) telah diamati menggunakan alat pemanenan data khusus yang memungkinkan untuk menghitung semua pengguna dan komputer di jaringan yang disusupi dan menyalin file dari Volume Shadow Copy Service (VSS).

Grixba, pencuri informasi berbasis .NET, dirancang untuk memindai mesin untuk program keamanan, perangkat lunak cadangan, dan alat administrasi jarak jauh, dan mengekstraksi data yang dikumpulkan dalam bentuk file CSV yang kemudian dikompresi menjadi arsip ZIP.

Juga digunakan oleh geng penjahat dunia maya, dilacak oleh Symantec sebagai Balloonfly, adalah Alat Penyalinan VSS yang ditulis dalam .NET yang menggunakan kerangka kerja AlphaVSS untuk membuat daftar file dan folder dalam snapshot VSS dan menyalinnya ke direktori tujuan sebelum enkripsi.

Play ransomware terkenal karena tidak hanya menggunakan enkripsi intermiten untuk mempercepat proses, tetapi juga fakta bahwa itu tidak dioperasikan pada model ransomware-as-a-service (RaaS). Bukti yang dikumpulkan sejauh ini menunjukkan bahwa Balloonfly melakukan serangan ransomware serta mengembangkan malware itu sendiri.

Grixba dan VSS Copying Tool adalah yang terbaru dari daftar panjang alat berpemilik seperti skrip berbasis Exmatter, Exbyte, dan PowerShell yang digunakan oleh aktor ransomware untuk membuat kontrol lebih besar atas operasi mereka, sementara juga menambahkan lapisan kerumitan ekstra untuk bertahan. 

Teknik lain yang semakin diadopsi oleh kelompok yang bermotivasi finansial adalah penggunaan bahasa pemrograman Go untuk mengembangkan malware lintas platform dan menolak analisis dan upaya rekayasa balik.

Memang, sebuah laporan dari Cyble minggu lalu mendokumentasikan ransomware GoLang baru yang disebut CrossLock yang menggunakan teknik pemerasan ganda untuk meningkatkan kemungkinan pembayaran dari korbannya, di samping mengambil langkah-langkah untuk menghindari pelacakan peristiwa untuk Windows (ETW).

“Fungsi ini memungkinkan malware untuk menghindari deteksi oleh sistem keamanan yang bergantung pada log peristiwa,” kata Cyble. "CrossLock Ransomware juga melakukan beberapa tindakan untuk mengurangi kemungkinan pemulihan data sekaligus meningkatkan efektivitas serangan."[]