Los conductores maliciosos como WinTapix.sys y ktgn.sys son una amenaza grave para la ciberseguridad, ya que pueden eludir las medidas de seguridad y tener acceso al sistema objetivo. Estos conductores, que se ejecutan dentro de la memoria del núcleo, son capaces de alterar mecanismos de seguridad críticos y ejecutar código arbitrario con los privilegios más altos. Para protegerse de estos conductores, Microsoft ha implementado la Enforce Signature Driver, que garantiza que solo los conductores firmados por Microsoft se pueden cargar en el sistema, así como reglas de bloqueo de controladores para protegerse contra los controladores conocidos vulnerables.
Además, los controladores maliciosos a menudo se utilizan junto con ataques al servidor de Exchange por parte de actores de amenazas iraníes. En uno de esos casos, el controlador WinTapix.sys se configuró para inyectar un código de shell incrustado en un proceso de modo de usuario apropiado que, a su vez, ejecutó una carga útil de .NET cifrada. El controlador también estableció la persistencia mediante modificaciones del Registro de Windows que le permitieron cargarse incluso cuando la máquina se iniciaba en Modo Seguro.
El grupo de ransomware ALPHV también se ha observado aprovechando un controlador malicioso firmado, ktgn.sys, para debilitar las defensas de seguridad y permanecer indetectado durante períodos prolongados de tiempo. Este controlador es una versión actualizada de POORTRY, que se firma con un certificado de cruce robado o filtrado.
En conclusión, los controladores maliciosos son una herramienta poderosa para los actores de amenazas, ofreciendo una forma sigilosa de infiltrarse más profundamente en los sistemas objetivo y mantener la persistencia. Por lo tanto, es importante que las organizaciones tomen medidas para protegerse de los controladores maliciosos, como implementar la Enforce Signature Driver y las reglas de bloqueo de controladores.
Source: Hackernews
Para mitigar estas posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net o puede intentarlo usted mismo utilizando check.website.