{"id":2033,"date":"2023-04-24T17:19:54","date_gmt":"2023-04-24T20:19:54","guid":{"rendered":"https:\/\/itconnect.lat\/portal\/?p=2033"},"modified":"2023-04-24T19:30:15","modified_gmt":"2023-04-24T22:30:15","slug":"aukill-001","status":"publish","type":"post","link":"https:\/\/itconnect.lat\/portal\/aukill-001\/","title":{"rendered":"AuKill: Bring Your Own Vulnerable Driver para deshabilitar software de detecci\u00f3n y EDR"},"content":{"rendered":"

Los ciberdelincuentes est\u00e1n utilizando una herramienta de evasi\u00f3n de defensa llamada AuKill que no hab\u00eda sido documentada previamente.<\/h2>\n

Esta herramienta tiene como objetivo deshabilitar el software de detecci\u00f3n y respuesta de punto final (EDR) mediante un ataque conocido como Bring Your Own Vulnerable Driver (BYOVD).<\/p>\n

Un BYOVD es un m\u00e9todo utilizado por los atacantes para introducir controladores de dispositivos maliciosos en un sistema de destino. Estos controladores maliciosos est\u00e1n dise\u00f1ados para explotar vulnerabilidades en el software de seguridad y permitir que el atacante evada la detecci\u00f3n y el an\u00e1lisis.<\/p>\n

AuKill<\/h3>\n

Es una herramienta especialmente peligrosa porque se dirige espec\u00edficamente a los sistemas de detecci\u00f3n y respuesta de punto final, lo que significa que los atacantes pueden evadir f\u00e1cilmente la vigilancia y el control de los equipos de seguridad. Es fundamental que las empresas tomen medidas para proteger sus sistemas y prevenir ataques de este tipo, tales como la implementaci\u00f3n de soluciones de seguridad avanzadas que sean capaces de detectar y bloquear este tipo de amenazas.<\/p>\n

Seg\u00fan un informe publicado por el investigador de Sophos, Andreas Klopsch, la herramienta AuKill se aprovecha de una versi\u00f3n obsoleta del controlador utilizado por la versi\u00f3n 16.32 de la utilidad de Microsoft, Process Explorer, para deshabilitar los procesos EDR antes de implementar una puerta trasera o ransomware en el sistema de destino.<\/p>\n

La simpleza de un controlador obsoleto<\/h3>\n

En concreto, AuKill utiliza esta versi\u00f3n obsoleta del controlador para cargar un controlador de dispositivo malicioso en el sistema, lo que permite a los atacantes evadir la detecci\u00f3n de los sistemas EDR y llevar a cabo sus acciones maliciosas sin ser detectados.<\/p>\n

\"Aukill<\/a>
Aukill 2023<\/figcaption><\/figure>\n

Es importante destacar que este m\u00e9todo no es una t\u00e9cnica nueva en el mundo de la ciberseguridad, pero demuestra que los atacantes siguen buscando formas innovadoras para evadir los sistemas de seguridad. Como resultado, es esencial que las organizaciones se mantengan actualizadas y utilicen soluciones de seguridad avanzadas para mitigar los riesgos y proteger sus sistemas.<\/p>\n

La firma de ciberseguridad ha analizado varios incidentes que demuestran el uso de la herramienta de evasi\u00f3n de defensa AuKill desde principios de 2023 para implementar diversas cepas de ransomware como Medusa Locker y LockBit. Hasta el momento, se han identificado seis versiones diferentes de este malware.<\/p>\n

La muestra m\u00e1s antigua de AuKill encontrada presenta una marca de tiempo de compilaci\u00f3n de noviembre de 2022, lo que sugiere que la herramienta ha estado en desarrollo durante varios meses antes de su uso en los ataques.<\/p>\n

Es importante destacar que los atacantes est\u00e1n utilizando cada vez m\u00e1s t\u00e9cnicas sofisticadas y herramientas avanzadas como AuKill para evadir los sistemas de seguridad y llevar a cabo ataques maliciosos. Las organizaciones deben tomar medidas preventivas, como mantener actualizados sus sistemas de seguridad y capacitar a su personal en ciberseguridad, para protegerse de este tipo de amenazas en constante evoluci\u00f3n.<\/p>\n

BYOVD (Bring Your Own Vulnerable Driver)<\/h3>\n

Es una t\u00e9cnica que se basa en que los ciberdelincuentes hacen uso malintencionado de un controlador leg\u00edtimo, pero desactualizado y explotable, que ha sido firmado por Microsoft. En algunos casos, los atacantes pueden utilizar un certificado robado o filtrado para este prop\u00f3sito.<\/p>\n

\"Bring<\/a>
Bring Your Own Vulnerable Driver<\/figcaption><\/figure>\n

Una vez que el controlador malicioso es cargado en el sistema, los atacantes pueden obtener privilegios elevados y desactivar los mecanismos de seguridad, lo que les permite llevar a cabo ataques sin ser detectados. Es importante destacar que esta t\u00e9cnica se basa en la explotaci\u00f3n de vulnerabilidades en el software y no en la explotaci\u00f3n de errores humanos, como la ingenier\u00eda social.<\/p>\n

Los atacantes utilizan esta t\u00e9cnica porque les permite evadir los sistemas de seguridad y llevar a cabo ataques exitosos.<\/p>\n

Para mitigar estos riesgos, es fundamental que las empresas tomen medidas preventivas como mantener actualizado su software de seguridad, limitar los privilegios de acceso y utilizar soluciones avanzadas de seguridad que sean capaces de detectar y bloquear este tipo de amenazas.<\/p>\n

Uno de los objetivos de la t\u00e9cnica BYOVD es eludir una protecci\u00f3n clave de Windows conocida como Driver Signature Enforcement<\/strong>.<\/p>\n

Esta protecci\u00f3n asegura que los controladores en modo kernel hayan sido firmados por una autoridad de firma de c\u00f3digo v\u00e1lida antes de que se les permita ejecutarse.<\/p>\n

Sin embargo, mediante el uso de controladores leg\u00edtimos y explotables, los atacantes pueden burlar esta protecci\u00f3n y obtener acceso a los sistemas afectados. Al aprovechar vulnerabilidades en los controladores leg\u00edtimos, los atacantes pueden cargar controladores maliciosos que les permiten obtener privilegios elevados y desactivar los mecanismos de seguridad del sistema.<\/p>\n

Es importante destacar que eludir la protecci\u00f3n Driver Signature Enforcement es una t\u00e9cnica avanzada y sofisticada que requiere un conocimiento profundo de las vulnerabilidades del software y de los sistemas operativos.<\/p>\n

Para mitigar estos riesgos, es fundamental que las empresas implementen soluciones de seguridad avanzadas y que mantengan actualizado su software de seguridad para evitar que los atacantes puedan aprovechar estas vulnerabilidades y acceder a sus sistemas.<\/p>\n

Los investigadores de Sophos se\u00f1alaron que para que la herramienta AuKill funcione, se requieren privilegios administrativos en el sistema.<\/p>\n

Sin embargo, la herramienta no puede otorgar esos privilegios al atacante directamente.<\/p>\n

En cambio, los actores de amenazas que usaron AuKill se aprovecharon de los privilegios existentes en el sistema durante los ataques, cuando los obtuvieron por otros medios.<\/p>\n

Es decir, los atacantes utilizaron otras t\u00e9cnicas para obtener acceso a los sistemas afectados y, una vez que obtuvieron los privilegios necesarios, utilizaron AuKill para deshabilitar los procesos EDR<\/strong> y llevar a cabo el ataque.<\/p>\n

Es importante destacar que los ciberdelincuentes utilizan m\u00faltiples t\u00e9cnicas para obtener acceso a sistemas y redes corporativas, incluyendo la ingenier\u00eda social, el phishing y la explotaci\u00f3n de vulnerabilidades en el software y en los sistemas operativos.<\/p>\n

Por esta raz\u00f3n, es fundamental que las empresas implementen una estrategia integral de seguridad que incluya medidas preventivas y de detecci\u00f3n avanzada para mitigar estos riesgos y proteger sus sistemas y datos.<\/p>\n

En efecto, no es la primera vez que se utiliza el controlador Process Explorer<\/strong> firmado por Microsoft<\/a> como una herramienta en ataques cibern\u00e9ticos.<\/p>\n

Backstab<\/h3>\n

En noviembre de 2022, Sophos detall\u00f3 el uso de una herramienta de c\u00f3digo abierto llamada Backstab por parte de los afiliados de LockBit. Esta herramienta tambi\u00e9n abusaba de versiones obsoletas del controlador para finalizar procesos antimalware protegidos.<\/p>\n

Estos incidentes resaltan la importancia de mantener actualizado el software y los sistemas operativos, incluyendo los controladores y las herramientas de seguridad.<\/p>\n

Adem\u00e1s, destacan la necesidad de contar con soluciones de seguridad avanzadas que permitan detectar y mitigar este tipo de ataques antes de que causen da\u00f1o.<\/p>\n

Es importante que las empresas implementen una estrategia integral de seguridad que incluya medidas preventivas y de detecci\u00f3n avanzada.<\/p>\n

Como la implementaci\u00f3n de pol\u00edticas de seguridad s\u00f3lidas, la formaci\u00f3n de los empleados en buenas pr\u00e1cticas de seguridad, la implementaci\u00f3n de soluciones de seguridad avanzadas y la realizaci\u00f3n de auditor\u00edas regulares de seguridad para garantizar que los sistemas y los datos est\u00e9n protegidos en todo momento.<\/p>\n

\"Bring<\/a>
Bring Your Own Vulnerable Driver (BYOVD)<\/figcaption><\/figure>\n

A principios de este a\u00f1o, se detect\u00f3 una campa\u00f1a de publicidad maliciosa que tambi\u00e9n utilizaba el controlador Process Explorer para distribuir el cargador .NET llamado MalVirt y as\u00ed implementar el malware de robo de informaci\u00f3n FormBook.<\/p>\n

Este desarrollo muestra que los actores de amenazas contin\u00faan explotando controladores leg\u00edtimos para llevar a cabo sus ataques. Es fundamental que los usuarios y las organizaciones tomen medidas de seguridad adecuadas para protegerse de estas amenazas.<\/p>\n

AhnLab Security Emergency Response Center (ASEC)<\/h3>\n

Revel\u00f3 recientemente que los servidores MS-SQL mal administrados est\u00e1n siendo utilizados para instalar el ransomware Trigona.<\/p>\n

Esta cepa de ransomware comparte superposiciones con otra conocida como CryLock.<\/p>\n

Es esencial que las organizaciones implementen medidas de seguridad adecuadas, como parchear regularmente los sistemas, utilizar contrase\u00f1as seguras y realizar copias de seguridad regulares, para prevenir y mitigar los riesgos asociados con estas amenazas.<\/p>\n

Los actores del ransomware Play han sido observados utilizando herramientas personalizadas de recolecci\u00f3n de datos para realizar un seguimiento de los usuarios y computadoras en una red comprometida.<\/p>\n

Estas herramientas tambi\u00e9n les permiten copiar archivos del servicio de copia de sombra de volumen (VSS).<\/p>\n

Por otro lado, Grixba es un malware basado en .NET que escanea m\u00e1quinas en busca de programas de seguridad, software de respaldo y herramientas de administraci\u00f3n remota.<\/p>\n

La informaci\u00f3n recopilada se guarda como archivos CSV que se comprimen en archivos ZIP.<\/p>\n

Por \u00faltimo, la banda de ciberdelincuentes Balloonfly utiliza una herramienta de copia de VSS escrita en .NET que utiliza el marco AlphaVSS para enumerar archivos y carpetas en una instant\u00e1nea de VSS y copiarlos en un directorio de destino antes de cifrarlos.<\/p>\n

Play ransomware se destaca no solo por utilizar cifrado intermitente para acelerar el proceso, sino tambi\u00e9n por el hecho de que no funciona con un modelo de ransomware como servicio (RaaS).<\/p>\n

La evidencia recopilada hasta ahora apunta a que Balloonfly lleva a cabo los ataques de ransomware y tambi\u00e9n desarrolla el malware.<\/p>\n

Grixba y VSS Copying Tool<\/h3>\n

Son las \u00faltimas de una larga lista de herramientas propietarias como Exmatter , Exbyte y scripts basados \u200b\u200ben PowerShell que utilizan los actores de ransomware para establecer un mayor control sobre sus operaciones, al tiempo que agregan capas adicionales de complejidad para persistir en entornos comprometidos y evadir la detecci\u00f3n.<\/p>\n

Es preocupante ver c\u00f3mo los actores de ransomware contin\u00faan evolucionando y mejorando sus herramientas y t\u00e9cnicas para lograr sus objetivos.<\/p>\n

La creciente sofisticaci\u00f3n de estas amenazas significa que es m\u00e1s dif\u00edcil detectar y defenderse contra ellas.<\/p>\n

Es importante que las organizaciones tomen medidas proactivas para proteger sus sistemas y datos, como mantener sus sistemas y software actualizados, implementar medidas de seguridad en capas y realizar regularmente copias de seguridad y pruebas de recuperaci\u00f3n ante desastres.<\/p>\n

El uso de Go para desarrollar malware es una tendencia en aumento<\/h3>\n

Go es un lenguaje de programaci\u00f3n moderno que se est\u00e1 volviendo cada vez m\u00e1s popular debido a su simplicidad, eficiencia y portabilidad.<\/p>\n

Adem\u00e1s, su compilador incorporado lo hace menos susceptible a ser detectado por soluciones antivirus y de an\u00e1lisis de malware.<\/p>\n

Los actores de amenazas est\u00e1n aprovechando estas caracter\u00edsticas para crear malware multiplataforma y evadir la detecci\u00f3n.<\/p>\n

La t\u00e9cnica de doble extorsi\u00f3n es otra t\u00e1ctica com\u00fan que utilizan los grupos de ransomware para obligar a las v\u00edctimas a pagar el rescate.<\/p>\n

En este caso, el atacante cifra los archivos de la v\u00edctima y luego amenaza con filtrar los datos confidenciales si no se paga el rescate.<\/p>\n

Eludir el seguimiento de eventos para Windows (ETW) es otra t\u00e9cnica utilizada por los atacantes para evitar que las soluciones de seguridad registren ciertos eventos en el sistema.<\/p>\n

El uso del lenguaje de programaci\u00f3n Go en el desarrollo de malware es una tendencia en aumento.<\/p>\n

Esto se debe en gran parte a la capacidad de Go de compilar el c\u00f3digo en binarios para m\u00faltiples sistemas operativos y arquitecturas, lo que hace que el malware sea m\u00e1s vers\u00e1til y efectivo.<\/p>\n

Adem\u00e1s, Go ofrece caracter\u00edsticas que dificultan la detecci\u00f3n y el an\u00e1lisis de malware, como la capacidad de ofuscar el c\u00f3digo fuente y la baja huella de memoria.<\/p>\n

La t\u00e9cnica de doble extorsi\u00f3n tambi\u00e9n se ha vuelto cada vez m\u00e1s popular entre los actores del ransomware. Esto implica la amenaza de publicar los datos robados si no se paga el rescate adem\u00e1s del cifrado de los mismos.<\/p>\n

Esta t\u00e9cnica aumenta la presi\u00f3n sobre las v\u00edctimas para que paguen, lo que aumenta las ganancias de los ciberdelincuentes.<\/p>\n

aukill, aukill, aukill, aukill, aukill, aukill, aukill, aukill, aukill, aukill, aukill, aukill, aukill, aukill, aukill, aukill, aukill, aukill, aukill, aukill,<\/span><\/p>\n

Por Marcelo Lozano – General Publiher IT CONNECT LATAM<\/h5>\n

 <\/p>\n

Lea m\u00e1s sobre ciberseguridad en;<\/h6>\n

 <\/p>\n

 <\/p>\n

 <\/p>\n

 <\/p>\n","protected":false},"excerpt":{"rendered":"

Los ciberdelincuentes est\u00e1n utilizando una herramienta de evasi\u00f3n de defensa llamada AuKill que no hab\u00eda sido documentada previamente. Esta herramienta tiene como objetivo deshabilitar el software de detecci\u00f3n y respuesta de punto final (EDR) mediante un ataque conocido como Bring Your Own Vulnerable Driver (BYOVD). Un BYOVD es un m\u00e9todo utilizado por los atacantes para […]<\/p>\n","protected":false},"author":2,"featured_media":2034,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"default","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"default","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[58],"tags":[1693,1694,1695,1697,1696,1698],"class_list":["post-2033","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciberseguridad","tag-aukill","tag-bring-your-own-vulnerable-driver","tag-byovd","tag-driver-signature-enforcement","tag-edr","tag-process-explorer"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/posts\/2033","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/comments?post=2033"}],"version-history":[{"count":2,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/posts\/2033\/revisions"}],"predecessor-version":[{"id":2039,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/posts\/2033\/revisions\/2039"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/media\/2034"}],"wp:attachment":[{"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/media?parent=2033"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/categories?post=2033"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/tags?post=2033"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}