Эксплойт ktapi.sys дал атакующим прямой доступ к системному уровню, где обычная самозащита уже не спасает.
<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
Вымогатели The Gentlemen показали, насколько опасной стала старая проблема Windows с уязвимыми драйверами. В расследованной Expel атаке группировка не пыталась «переспорить» защиту на уровне обычных процессов, а поднялась ниже, к ядру системы, и через неизвестную ранее уязвимость отключила EDR перед запуском шифровальщика.
The Gentlemen появилась летом 2025 года и быстро сделала ставку на BYOVD, приём, при котором злоумышленники приносят на заражённую машину легитимный, но уязвимый драйвер. Windows доверяет такому компоненту, драйвер получает высокий уровень доступа, а атакующие используют ошибку в коде, чтобы ломать защитные механизмы изнутри. ESET ранее описывала у The Gentlemen отдельный набор EDR-киллеров GentleKiller, а Expel теперь разобрала новый эпизод, где в дело пошёл драйвер ktapi.sys от Kontron.
По данным Expel, на момент анализа уязвимость в ktapi.sys не фигурировала в публичных списках опасных драйверов. Исследователи также не нашли публичных случаев эксплуатации именно данного драйвера до публикации отчёта. Непонятным остаётся главный вопрос, как вымогатели получили сам файл и узнали о слабом месте в его логике.
Слабость оказалась в работе драйвера с физической памятью. ktapi.sys должен был помогать прикладному коду общаться с оборудованием, но одна из функций позволяла передать системе адрес и отобразить нужный участок памяти в процесс атакующего. При определённых параметрах Windows-функция HalTranslateBusAddress принимала не только адреса аппаратной шины, но и произвольные адреса в оперативной памяти. В результате вредоносная программа получала возможность читать и менять память ядра.
Дальше эксплойт действовал уже как инструмент высокой квалификации. Код сканировал оперативную память, находил таблицы страниц текущего процесса, переводил виртуальные адреса ядра в физические и обходил защитные механизмы Windows, включая PatchGuard, SMAP и SMEP. Разработчики эксплойта использовали особенности Win32k.sys, чтобы перенаправлять отдельные системные вызовы и запускать нужные функции с правами ядра, не вызывая немедленный сбой системы.
После настройки такого механизма атакующим оставалось решить практическую задачу, убить процессы защитных продуктов. Эксплойт обращался к функциям ядра PsLookupProcessByProcessId, ObDereferenceObject и PsTerminateProcess, находил нужные процессы и завершал их даже при включённых механизмах самозащиты. В версии, которую изучила Expel, список целей включал Microsoft Defender, ESET, Palo Alto Cortex XDR и SentinelOne. Код запускал цикл снова и снова, поэтому EDR не мог нормально перезапуститься после завершения процесса.
Expel отдельно подчёркивает, что ktapi.sys относится к старым cross-signed драйверам. В новых сборках Windows 11 25H2 и Windows Server 2025 Microsoft отключила автоматическое доверие к таким устаревшим драйверам, и конкретный ktapi.sys при таком режиме должен блокироваться без ручного разрешения администратора. Однако исследователи предупреждают, что одна только свежая версия Windows не закрывает весь класс BYOVD-атак.
В качестве защиты Expel рекомендует включать изоляцию ядра и VBS, использовать блокировку уязвимых драйверов и настраивать Windows Defender Application Control. Последний механизм позволяет строить список разрешённых драйверов по имени, хэшу, сертификату издателя и минимальной версии, а значит снижает риск отката к старому уязвимому компоненту. Для старых систем исследователи советуют добавить ktapi.sys и связанный payload was.exe в правила обнаружения, но не полагаться только на хэш, поскольку у атакующих могут быть другие версии того же драйвера.
Главный вывод из отчёта неприятен для корпоративной защиты. Современный EDR может хорошо видеть вредоносные действия в пользовательском режиме, но уязвимый драйвер открывает атакующему путь к уровню, где защитный продукт сам превращается в обычный процесс под прицелом ядра. Для вымогателей такой подход стал не экзотикой, а рабочим способом подготовить систему к шифрованию за считанные секунды.
<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
Вымогатели The Gentlemen показали, насколько опасной стала старая проблема Windows с уязвимыми драйверами. В расследованной Expel атаке группировка не пыталась «переспорить» защиту на уровне обычных процессов, а поднялась ниже, к ядру системы, и через неизвестную ранее уязвимость отключила EDR перед запуском шифровальщика.
The Gentlemen появилась летом 2025 года и быстро сделала ставку на BYOVD, приём, при котором злоумышленники приносят на заражённую машину легитимный, но уязвимый драйвер. Windows доверяет такому компоненту, драйвер получает высокий уровень доступа, а атакующие используют ошибку в коде, чтобы ломать защитные механизмы изнутри. ESET ранее описывала у The Gentlemen отдельный набор EDR-киллеров GentleKiller, а Expel теперь разобрала новый эпизод, где в дело пошёл драйвер ktapi.sys от Kontron.
По данным Expel, на момент анализа уязвимость в ktapi.sys не фигурировала в публичных списках опасных драйверов. Исследователи также не нашли публичных случаев эксплуатации именно данного драйвера до публикации отчёта. Непонятным остаётся главный вопрос, как вымогатели получили сам файл и узнали о слабом месте в его логике.
Слабость оказалась в работе драйвера с физической памятью. ktapi.sys должен был помогать прикладному коду общаться с оборудованием, но одна из функций позволяла передать системе адрес и отобразить нужный участок памяти в процесс атакующего. При определённых параметрах Windows-функция HalTranslateBusAddress принимала не только адреса аппаратной шины, но и произвольные адреса в оперативной памяти. В результате вредоносная программа получала возможность читать и менять память ядра.
Дальше эксплойт действовал уже как инструмент высокой квалификации. Код сканировал оперативную память, находил таблицы страниц текущего процесса, переводил виртуальные адреса ядра в физические и обходил защитные механизмы Windows, включая PatchGuard, SMAP и SMEP. Разработчики эксплойта использовали особенности Win32k.sys, чтобы перенаправлять отдельные системные вызовы и запускать нужные функции с правами ядра, не вызывая немедленный сбой системы.
После настройки такого механизма атакующим оставалось решить практическую задачу, убить процессы защитных продуктов. Эксплойт обращался к функциям ядра PsLookupProcessByProcessId, ObDereferenceObject и PsTerminateProcess, находил нужные процессы и завершал их даже при включённых механизмах самозащиты. В версии, которую изучила Expel, список целей включал Microsoft Defender, ESET, Palo Alto Cortex XDR и SentinelOne. Код запускал цикл снова и снова, поэтому EDR не мог нормально перезапуститься после завершения процесса.
Expel отдельно подчёркивает, что ktapi.sys относится к старым cross-signed драйверам. В новых сборках Windows 11 25H2 и Windows Server 2025 Microsoft отключила автоматическое доверие к таким устаревшим драйверам, и конкретный ktapi.sys при таком режиме должен блокироваться без ручного разрешения администратора. Однако исследователи предупреждают, что одна только свежая версия Windows не закрывает весь класс BYOVD-атак.
В качестве защиты Expel рекомендует включать изоляцию ядра и VBS, использовать блокировку уязвимых драйверов и настраивать Windows Defender Application Control. Последний механизм позволяет строить список разрешённых драйверов по имени, хэшу, сертификату издателя и минимальной версии, а значит снижает риск отката к старому уязвимому компоненту. Для старых систем исследователи советуют добавить ktapi.sys и связанный payload was.exe в правила обнаружения, но не полагаться только на хэш, поскольку у атакующих могут быть другие версии того же драйвера.
Главный вывод из отчёта неприятен для корпоративной защиты. Современный EDR может хорошо видеть вредоносные действия в пользовательском режиме, но уязвимый драйвер открывает атакующему путь к уровню, где защитный продукт сам превращается в обычный процесс под прицелом ядра. Для вымогателей такой подход стал не экзотикой, а рабочим способом подготовить систему к шифрованию за считанные секунды.
- Источник новости
- www.securitylab.ru