FishMonger, um notório grupo nação estado de ameaças relacionado a companhias da área de tecnologia na China, tem, ultimamente, expandido suas táticas de penetração a partir de um mecanismo de backdoor do Windows, mecanismo esse que, por sua vez, abusa dos drivers do kernel para evitar detecção .

A empresa de pesquisa em cibersegurança ESET, em seu blog welivesecurity[1], encontrou uma variação previamente não documentada do exploit SprySOCKS – um backdoor de Linux que foi primeiramente observado em 2023 em atividade atrelada à FishMonger. No ano passado, o grupo foi classificado como sendo relacionado com a companhia chinesa I-Soon, uma  companhia que é responsável por conduzir operações de segurança pela República Popular da China.

Em adição ao porting do backdoor para Linux, a ESET também notou que fora adotada uma estratégia adicional de evasão de detecção utilizando drivers maliciosos de kernel. A nova variante descoberta mostra a extensividade das técnicas avançadas de persistência e ressalta o perigo que drivers de kernel oferecem para a segurança empresarial.

O alicerce do abuso de drivers de Kernel

A ESET encontrou duas principais variantes do SprySOCKS para Windows, internamente denominadas de WIN_DRV e WIN_PLUS. Enquanto as duas são ports do backdoor, a versão WIN_DRV utiliza drivers do kernel para desenvolver uma sofisticada tática furtiva.

Figura 1. Mostra o tipo de versão e o número da versão encontrados em plain-text no WIN_DRV ( esquerda ) e WIN_PLUS (direita). Créditos: [1].

Em relação ao o WIN_DRV, são os drivers de kernel utilizados: fbdiskbit.sys – apelidado pelos pesquisadores como “Driver Loader” – e o RawWNPF – o real responsável pela ocultação da atividade maliciosa. O primeiro é entregue pelo loader do SprySOCKS e age de maneira consistente com a análise dos pesquisadores no carregamento do segundo driver de kernel, o RawWNPF.

O driver do RawWNPF, por sua vez, é quem esconde a atividade maliciosa, sendo configurado via IOCTLs ( Códigos de controle de E/S do driver ). Como drivers de kernel têm acesso privilegiado às funcionalidades do kernel do Windows, estes podem ser utilizados para tarefas como matar processos ou, como no caso discutido, ocultar os processos do malware e arquivos via interceptação de certas chamadas do sistema e modificação de saída.

O fluxo de atuação do RawWNPF consiste-se no hook da execução da chamada de sistema NtQuerySystemInformation[2]. Se quaisquer processos retornados pela API do Windows corresponderem a algum da lista de processos os quais devem ser ocultados pelo driver, este fará com que os processos sejam removidos do output da função.

O relatório da ESET também diz que  o DriverLoader da ameaça estava assinado com um certificado digital exposto no GitHub no projeto open source PastDSE[3] – um bypass da obrigação de assinatura de drivers que utiliza de um certificado vazado de validação extensiva de código – o que  permite o loading de drivers em alguns sistemas mal configurados ou desatualizados.

A disseminação do SprySOCKS

Não foram, na pesquisa realizada pela ESET, encontradas evidências conclusivas sobre o método de entrega do SprySOCKS na campanha, entretanto, diante das pretéritas atividades da FishMonger, pôde ser inferida uma mais provável situação. Essa, seria baseada na infecção de aplicações vulneráveis ou mal configuradas expostas ao público, tendo em vista a já observada tendência dos atacantes de almejarem servidores públicos na exploração de vulnerabilidades N-day.

A telemetria feita pela ESET também revelou que são limitadas as possibilidades de que os recentes ataques via SprySOCKS tenham utilizado de componentes de bootkit UEFI – possivelmente explorando vulnerabilidades como a recente CVE-2023-24932[4], que permite que políticas de boot sejam modificadas pelo atacante.

Medidas preventivas

Como todos os drivers utilizados no fluxo de atividade do SprySOCKS são maliciosos e não somente exploram features do Windows de maneira legítima, esses devem estar sujeitos a detecção. Portanto, visando prevenir e/ou remediar a campanha de ataques atrelada ao SprySOCKS, além da análise de indicadores de comprometimento assim como os liberados pela ESET no artigo da welivesecurity[1], recomenda-se a ativação da funcionalidade de Integridade De Código Protegida pelo Hypervisor (HVCI) , uma feature do Windows que impede o loading de drivers maliciosos.

Referências

[1]  https://www.welivesecurity.com/en/eset-research/fishmongers-arsenal-upgraded-sprysocks-windows/

[2] https://learn.microsoft.com/en-us/windows/win32/api/winternl/nf-winternl-ntquerysysteminformation

[3] https://github.com/utoni/PastDSE

[4] https://nvd.nist.gov/vuln/detail/CVE-2023-24932