Els controladors maliciosos com WinTapix.sys i ktgn.sys són una amenaça seriosa a la ciberseguretat, ja que són capaços de saltar-se les mesures de seguretat i guanyar accés al sistema objectiu. Aquests controladors, que s’executen dins la memòria del nucli, són capaços de modificar mecanismes de seguretat crítics i executar codi arbitrari amb els privilegis més alts. Per protegir-se contra aquests controladors, Microsoft ha implementat l’Enforcement de Signatura del Controlador, que assegura que només es poden carregar controladors signats per Microsoft al sistema, així com les regles de bloqueig del controlador per protegir-se contra controladors vulnerables coneguts.
A més, els controladors maliciosos sovint s’utilitzen al costat dels atacs al servidor Exchange per part d’actors de amenaces iranians. En un cas com aquest, el controlador WinTapix.sys s’ha configurat per injectar una shellcode incrustada en un procés d’usuari apropiats, que a la vegada executava una càrrega .NET encriptada. El controlador també va establir la persistència mitjançant modificacions del Registre de Windows que li permetien ser carregat fins i tot quan la màquina s’iniciava en Mode Segur.
El grup de ransomware ALPHV també s’ha observat aprofitant un controlador signat maliciós, ktgn.sys, per afectar les defenses de seguretat i romandre indetectat durant períodes prolongats de temps. Aquest controlador és una versió actualitzada de POORTRY, que està signat utilitzant un certificat de signatura creuada robat o filtrat.
En conclusió, els controladors maliciosos són una eina poderosa per als actors de amenaces, oferint una manera furtiva d’infiltrar-se més profundament en els sistemes objectius i mantenir la persistència. Per tant, és important que les organitzacions prenguin mesures per protegir-se contra els controladors maliciosos, com ara implementar l’Enforcement de Signatura del Controlador i les regles de bloqueig del controlador.
Source: Hackernews
Per mitigar aquestes amenaces potencials, és important implementar mesures addicionals de ciberseguretat amb l’ajuda d’un soci de confiança com INFRA www.infrascan.net o bé pots provar-ho tu mateix utilitzant check.website.