Новости EDR выключили на уровне ядра. Эксплойт The Gentlemen позволял читать и менять память ядра Windows

NewsMaker

I'm just a script
Премиум
28,056
46
8 Ноя 2022
Эксплойт ktapi.sys дал атакующим прямой доступ к системному уровню, где обычная самозащита уже не спасает.

<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
8t1i8w1vwvg1cc2mrxbxe73tns36elp4.jpg

Вымогатели The Gentlemen показали, насколько опасной стала старая проблема Windows с уязвимыми драйверами. В расследованной Expel атаке группировка не пыталась «переспорить» защиту на уровне обычных процессов, а поднялась ниже, к ядру системы, и через неизвестную ранее уязвимость отключила EDR перед запуском шифровальщика.

The Gentlemen появилась летом 2025 года и быстро сделала ставку на BYOVD, приём, при котором злоумышленники приносят на заражённую машину легитимный, но уязвимый драйвер. Windows доверяет такому компоненту, драйвер получает высокий уровень доступа, а атакующие используют ошибку в коде, чтобы ломать защитные механизмы изнутри. ESET ранее описывала у The Gentlemen отдельный набор EDR-киллеров GentleKiller, а Expel теперь разобрала новый эпизод, где в дело пошёл драйвер ktapi.sys от Kontron.

По данным Expel, на момент анализа уязвимость в ktapi.sys не фигурировала в публичных списках опасных драйверов. Исследователи также не нашли публичных случаев эксплуатации именно данного драйвера до публикации отчёта. Непонятным остаётся главный вопрос, как вымогатели получили сам файл и узнали о слабом месте в его логике.

Слабость оказалась в работе драйвера с физической памятью. ktapi.sys должен был помогать прикладному коду общаться с оборудованием, но одна из функций позволяла передать системе адрес и отобразить нужный участок памяти в процесс атакующего. При определённых параметрах Windows-функция HalTranslateBusAddress принимала не только адреса аппаратной шины, но и произвольные адреса в оперативной памяти. В результате вредоносная программа получала возможность читать и менять память ядра.

Дальше эксплойт действовал уже как инструмент высокой квалификации. Код сканировал оперативную память, находил таблицы страниц текущего процесса, переводил виртуальные адреса ядра в физические и обходил защитные механизмы Windows, включая PatchGuard, SMAP и SMEP. Разработчики эксплойта использовали особенности Win32k.sys, чтобы перенаправлять отдельные системные вызовы и запускать нужные функции с правами ядра, не вызывая немедленный сбой системы.

После настройки такого механизма атакующим оставалось решить практическую задачу, убить процессы защитных продуктов. Эксплойт обращался к функциям ядра PsLookupProcessByProcessId, ObDereferenceObject и PsTerminateProcess, находил нужные процессы и завершал их даже при включённых механизмах самозащиты. В версии, которую изучила Expel, список целей включал Microsoft Defender, ESET, Palo Alto Cortex XDR и SentinelOne. Код запускал цикл снова и снова, поэтому EDR не мог нормально перезапуститься после завершения процесса.

Expel отдельно подчёркивает, что ktapi.sys относится к старым cross-signed драйверам. В новых сборках Windows 11 25H2 и Windows Server 2025 Microsoft отключила автоматическое доверие к таким устаревшим драйверам, и конкретный ktapi.sys при таком режиме должен блокироваться без ручного разрешения администратора. Однако исследователи предупреждают, что одна только свежая версия Windows не закрывает весь класс BYOVD-атак.

В качестве защиты Expel рекомендует включать изоляцию ядра и VBS, использовать блокировку уязвимых драйверов и настраивать Windows Defender Application Control. Последний механизм позволяет строить список разрешённых драйверов по имени, хэшу, сертификату издателя и минимальной версии, а значит снижает риск отката к старому уязвимому компоненту. Для старых систем исследователи советуют добавить ktapi.sys и связанный payload was.exe в правила обнаружения, но не полагаться только на хэш, поскольку у атакующих могут быть другие версии того же драйвера.

Главный вывод из отчёта неприятен для корпоративной защиты. Современный EDR может хорошо видеть вредоносные действия в пользовательском режиме, но уязвимый драйвер открывает атакующему путь к уровню, где защитный продукт сам превращается в обычный процесс под прицелом ядра. Для вымогателей такой подход стал не экзотикой, а рабочим способом подготовить систему к шифрованию за считанные секунды.
 
Источник новости
www.securitylab.ru

Похожие темы