Hackers descubren cómo destruir la protección desde dentro del kernel. Pero si lo haces "a la rusa", ni siquiera necesitas antivirus.
Nuevo malware del grupo Qilin desactiva más de 300 herramientas de seguridad en un solo dispositivo
Los atacantes del grupo Qilin fueron más allá de los ataques habituales con ransomware y aprendieron a desactivar las protecciones directamente en el equipo de la víctima antes de que comience el cifrado. Los especialistas de Cisco Talos mostraron, cómo funciona un archivo malicioso que literalmente «apaga» las modernas herramientas de defensa.
Se trata de la biblioteca falsificada «msimg32.dll», que los atacantes colocan junto con un programa legítimo. Cuando el programa se inicia, el código malicioso comienza a ejecutarse sin que el usuario lo note. Al mismo tiempo se mantienen las funciones originales de la biblioteca para que la suplantación no sea evidente.
A continuación comienza un ataque multietapa. Primero se ejecuta un cargador que prepara el sistema y extrae el segundo componente oculto en su interior. El código oculta su actividad, evade el control de llamadas al sistema y desactiva los mecanismos de registro en Windows. Gracias a ello la carga maliciosa se ejecuta directamente en memoria y no deja rastros visibles.
Tras la preparación se inicia el módulo principal. Carga controladores auxiliares, uno de los cuales otorga acceso a la memoria física del equipo y otro que permite terminar procesos protegidos. Antes de ello, el código malicioso desactiva los mecanismos internos de monitorización que las soluciones de seguridad emplean para rastrear eventos.
El objetivo principal son las herramientas de detección y respuesta a amenazas que se instalan en los equipos para protegerlos de ataques complejos. El malware es capaz de desactivar más de 300 controladores distintos de esas soluciones de diversos fabricantes. Para ello actúa directamente sobre la memoria del núcleo del sistema y elimina los manejadores de eventos de los que depende el control de procesos y archivos.
El ataque destaca porque el malware evita infectar equipos con la configuración de idioma de países de la antigua URSS. Si detecta esa configuración, el programa simplemente finaliza su ejecución.
En el ataque se emplea un controlador legítimo diseñado originalmente para trabajar con hardware. Ese controlador está firmado con un certificado válido y no despierta sospechas. Sin embargo, sus capacidades permiten leer y escribir la memoria física, lo que aprovechan los atacantes. En la fase final el malware termina los procesos de las soluciones de seguridad, incluido el antivirus integrado de Windows. Tras ello, el sistema queda prácticamente indefenso y los atacantes pueden continuar con la intrusión.