I driver maligni come WinTapix.sys e ktgn.sys rappresentano una grave minaccia alla sicurezza informatica, poiché sono in grado di bypassare le misure di sicurezza e ottenere accesso al sistema target. Tali driver, che eseguono i propri comandi all’interno della memoria del kernel, sono in grado di alterare i meccanismi di sicurezza critici e eseguire codice arbitrario con i privilegi più elevati. Per proteggersi da questi driver, Microsoft ha implementato l’Enforcement della firma del driver, che garantisce che vengano caricati solo driver firmati da Microsoft, così come regole di blocco del driver per proteggersi da driver noti vulnerabili.
Inoltre, i driver maligni vengono spesso utilizzati in concomitanza con gli attacchi al server Exchange da parte di attori minacciosi iraniani. In un caso del genere, il driver WinTapix.sys è stato configurato per iniettare un codice shell incorporato in un processo di modalità utente appropriato che, a sua volta, ha eseguito un payload .NET crittografato. Il driver ha anche stabilito una persistenza mediante modifiche al Registro di sistema di Windows che gli hanno permesso di essere caricato anche quando la macchina è stata avviata in modalità provvisoria.
Il gruppo di ransomware ALPHV è stato anche osservato sfruttare un driver firmato maligno, ktgn.sys, per indebolire le difese di sicurezza e rimanere inosservato per periodi di tempo prolungati. Questo driver è una versione aggiornata di POORTRY, firmata con un certificato di firma incrociata rubato o trapelato.
In conclusione, i driver maligni sono uno strumento potente per gli attori minacciosi, offrendo un modo furtivo per infiltrarsi più a fondo nei sistemi target e mantenere la persistenza. Pertanto, è importante che le organizzazioni prendano misure per proteggersi dai driver maligni, come l’implementazione dell’Enforcement della firma del driver e delle regole di blocco del driver.
Source: Hackernews
Per mitigare queste potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net o è possibile provarci da soli utilizzando check.website.