L'ANALISI TECNICA

Il ransomware AvosLocker disabilita l’antivirus per agire indisturbato: ecco i dettagli

È stata identificata una nuova variante del ransomware AvosLocker che, sfruttando un file di driver legittimo, riesce a disabilitare le soluzioni antivirus per eludere il rilevamento. Ecco tutti i dettagli tecnici e i consigli per difendersi

04 Mag 2022
L
Salvatore Lombardo

Funzionario informatico, Esperto ICT, Socio Clusit e autore

I ricercatori di sicurezza TrendMicro avrebbero svelato una nuova variante del ransomware AvosLocker in grado di disabilitare le soluzioni antivirus per eludere il rilevamento, dopo aver violato le reti di destinazione sfruttando falle di sicurezza non sanate.

“Abbiamo trovato campioni di AvosLocker ransomware che utilizza un file di driver legittimo per disabilitare le soluzioni antivirus e l’evasione del rilevamento. Sebbene le precedenti infezioni di AvosLocker utilizzino routine simili, questo è il primo campione che abbiamo osservato dagli Stati Uniti con la capacità di disabilitare una soluzione di difesa utilizzando un file legittimo di Avast Anti-Rootkit Driver (asWarPot.sys). Inoltre, il ransomware è anche in grado di scansionare più endpoint per la vulnerabilità Log4j Log4shell utilizzando lo script NMAP NSE”, così si legge nell’incipit del rapporto dei ricercatori.

La catena d’infezione della variante di AvosLocker

Secondo la ricostruzione si ritiene che il punto di ingresso per l’attacco sia stato facilitato sfruttando un exploit per un difetto di esecuzione di codice remoto nel software ManageEngine ADSelfService Plus di Zoho (CVE-2021-40539) per eseguire tramite il comando mshta.exe un file di applicazione HTML (HTA) ospitato su un server remoto presidiato dagli attaccanti.

WHITEPAPER
Nuovi attacchi informatici VS 3 nuovi modelli di sicurezza: scoprili!
Finanza/Assicurazioni
Sicurezza

Il file HTA, successivamente, attiverebbe uno script PowerShell offuscato contenente uno shellcode in grado di riconnettersi al server C2 per eseguire comandi arbitrari.

fig1-avoslocker-ransomware-disables-av-scans-log4shell

In particolare lo script PowerShell scaricherebbe, installerebbe e avvierebbe lo strumento desktop remoto AnyDeskMSI bypassando i firewall e consentendo la distribuzione di ulteriori strumenti e componenti sulle macchine compromesse per scansionare la rete locale e disabilitare i prodotti di sicurezza.

fig13-avoslocker-ransomware-disables-av-scans-log4shell

Tra questi strumenti figurano:

  • Netscan: per cercare altri endpoint;
  • Nmap: per cercare gli endpoint vulnerabili di Log4shell (CVE-2021-44228);
  • gli strumenti di hacking Mimikatz e Impacket: per il movimento laterale;
  • la distribuzione PDQ: per la distribuzione massiva di script batch dannosi su più endpoint;
  • AswarPot.sys: un legittimo driver anti-rootkit Avast impiegato illecitamente per disabilitare diverse soluzioni di protezione, sfruttando una vulnerabilità già risolta a giugno dello scorso anno dal vendor.

Degno di nota lo script batch distribuito via PDQ che consentirebbe l’esecuzione del ransomware spianando la strada attraverso la rete.

fig25-avoslocker-ransomware-disables-av-scans-log4shell

Dotato di un’ampia gamma di funzionalità lo script consentirebbe di disabilitare Windows Update, Windows Defender e Windows Error Recovery, oltre a:

  • impedire l’esecuzione di Safeboot dei prodotti di sicurezza;

fig27-avoslocker-ransomware-disables-av-scans-log4shell
  • consentire la creazione di un nuovo account amministratore;

fig28-avoslocker-ransomware-disables-av-scans-log4shell
  • lanciare il file binario del ransomware AvosLocker;
  • disattivare la didascalia dell’avviso legale.

fig30-avoslocker-ransomware-disables-av-scans-log4shell

In conclusione

“Sebbene AvosLocker sia stato documentato per l’abuso di AnyDesk per il movimento laterale come applicazione preferita, notiamo che è possibile abusare anche di altre applicazioni di accesso remoto per sostituirlo. Pensiamo che lo stesso si possa dire per lo strumento di distribuzione del software, in cui gli attori malintenzionati possono successivamente decidere di sostituirlo e abusarne con altri disponibili in commercio. Inoltre, a parte la sua disponibilità, la decisione di scegliere il file del driver rootkit specifico dipende dalla sua capacità di essere eseguito in modalità kernel (quindi operando con privilegi elevati)”, concludono gli analisti Christoper Ordonez, Alvin Nieto di TrendMicro.

Purtroppo, come già evidenziato in passato un attacco condotto mediante il ransomware AvosLocker è un problema difficile da affrontare perché la relativa soluzione di sicurezza deve occuparsi non solo del ransomware stesso, ma anche di tutti i meccanismi impostati dagli attaccanti come porta di accesso alla rete mirata.

Pertanto si consiglia a tutti i professionisti di sicurezza e amministratori di rete di valutare l’aggiornamento dei propri dispostivi di sicurezza con gli IoC pubblicati:

  • Malicious batch file component: a5ad3355f55e1a15baefea83ce81d038531af516f47716018b1dedf04f081f15, Trojan.BAT.KILLAV.YACAA
  • AvosLocker executable: 05ba2df0033e3cd5b987d66b6de545df439d338a20165c0ba96cde8a74e463e5, Ransom.Win32.AVOSLOCKER.SMYXBLNT
  • Mimikatz executable (x32 and x64):
  1. 912018ab3c6b16b39ee84f17745ff0c80a33cee241013ec35d0281e40c0658d9, HackTool.Win64.MIMIKATZ.ZTJA;
  2. e81a8f8ad804c4d83869d7806a303ff04f31cce376c5df8aada2e9db2c1eeb98, HackTool.Win32.Mimikatz.CNFW;
  • Log4shell Nmap NSE script: ddcb0e99f27e79d3536a15e0d51f7f33c38b2ae48677570f36f5e92863db5a96, Backdoor.Win32.CVE202144228.YACAH
  • Impacket tool: 14f0c4ce32821a7d25ea5e016ea26067d6615e3336c3baa854ea37a290a462a8, HackTool.Win32.Impacket.AA.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4