Threat Hunting: il servizio che protegge la soluzione EDR dagli attacchi BYOVD (Bring Your Own Vulnerable Driver)

Gli attacchi BYOVD sono in aumento

Si chiama BYOVD, sigla che identifica la locuzione “Bring Your Own Vulnerable Driver”, ed è una nuova tecnica di attacco che sta acquisendo grande notorietà. Nel 2023, un anno caratterizzato dall’aumento vertiginoso degli attacchi hacker, la BYOVD si è rivelata una delle tecniche più sofisticate di attacco ransomware ai danni delle aziende.

BYOVD: la tecnica di attacco che disabilita la soluzione EDR

Ma che cos’è esattamente un attacco Bring Your Own Vulnerable Driver? Negli attacchi BYOVD, i threat actor sfruttano le vulnerabilità all’interno di driver legittimi e firmati. Questi driver possiedono l’autorizzazione di Microsoft e nella maggior parte dei casi sono totalmente attendibili poiché rilasciati da fonti autorevoli come la stessa Microsoft, nonché Dell, Intel e altre importanti società del settore IT.
I driver in questione possiedono autorizzazioni e privilegi di livello elevato, in quanto vengono solitamente utilizzati dai software di cybersecurity più diffusi. I criminali sfruttano quindi le vulnerabilità di questi driver per introdursi in un sistema ed eseguire codice arbitrario in modalità kernel, cioè a un livello più elevato rispetto ai software di protezione endpoint adottati da un’azienda.
Ne consegue che un cyber criminale è in grado di aggirare le più avanzate soluzioni di sicurezza informatica grazie ai privilegi elevati garantiti dal driver vulnerabile. Ad esempio, un threat actor può facilmente disabilitare una soluzione EDR per neutralizzarne la capacità di visibilità e prevenzione; questa compromissione lascia spazio per eventuali attacchi mirati alla rete.

La blocklist di Microsoft, un importante strumento di prevenzione

Perché i criminali ricorrono alla tecnica BYOVD? Innanzitutto, perché il caricamento di driver nel kernel richiede un certificato di firma del codice. Questo requisito rende estremamente difficile la creazione e il caricamento nel kernel di un driver malevolo da parte di un threat actor, poiché le versioni più recenti di Windows non accettano driver senza firma.
Per questo motivo, i threat actor rivolgono la propria attenzione ai prodotti di terze parti che contengono driver in modalità kernel. Molti software in circolazione contengono infatti driver autorizzati e considerati attendibili, ma contenenti vulnerabilità non assegnatarie di un numero CVE che le identifica. Queste vulnerabilità rappresentano un punto di ingresso ottimale all’esecuzione di codice a livello kernel.
Per risolvere alcune delle possibili problematiche, nel 2021 Microsoft ha introdotto una blocklist che include un elenco di driver vulnerabili. Grazie a questa blocklist, è possibile aggiornare il proprio sistema affinché i driver vulnerabili non vengano caricati nella memoria del kernel, riducendo quindi il rischio che i cyber criminali si introducano in un sistema mediante la tecnica BYOVD.

La blocklist di Microsoft non è aggiornata? Interviene il Threat Hunting

Nonostante l’elenco di driver fornito da Microsoft venga aggiornato con ogni nuova versione principale di Windows, in genere una o due volte all’anno, è possibile che un attacco venga eseguito tramite un driver vulnerabile non presente nella blocklist, pertanto non ancora identificato come possibile punto debole.
Un driver non ancora incluso nella lista di Microsoft potrebbe quindi sfuggire a un software di Endpoint Protection. Di conseguenza, il threat actor che ha sfruttato la vulnerabilità avrebbe campo libero per disabilitare la soluzione EDR e portare a termine un attacco completo. In casi come questi, è fondamentale riconoscere una possibile situazione di rischio prima che si verifichi la violazione grazie alla ricerca preventiva delle possibili minacce.
Questa attività può essere svolta dagli specialisti di Threat Hunting di un SOC (Security Operations Center), un team di esperti di cybersecurity specializzato nella ricerca proattiva delle minacce. Questi specialisti hanno tutte le competenze necessarie per interpretare ciò che avviene a livello di endpoint e altri punti critici in rete e di applicare regole ad-hoc per prevenire un attacco che sfrutta driver vulnerabili.

Threat Hunting: cos'è e come funziona

Il lavoro costante di un Security Operations Center consente a un’azienda di rimanere sempre aggiornata sulle ultime minacce provenienti dal mondo informatico. Questo è possibile grazie a un’intensa attività di Threat Hunting.
Il Threat Hunting è un’attività svolta dagli esperti del SOC, che lavorano quotidianamente per individuare le ultime minacce note e arricchire le piattaforme di rilevamento con nuove informazioni su threat actor e possibili driver vulnerabili.
Tra le attività principali svolte dai Threat Hunter troviamo:

• analisi proattiva: monitoraggio continuo dei sistemi alla ricerca di segnali anomali e correlazione degli eventi per identificare schemi che riconducono a un possibile attacco BYOVD;
• uso di intelligence: impiego di informazioni sulle vulnerabilità note dei driver, come la blocklist di Microsoft, e altre informazioni provenienti da più feed di intelligence su minacce e threat actor;
• analisi degli IoC: identificazione di indicatori di compromissione legati agli attacchi BYOVD, come la presenza di software usati in modo malevolo o attività di rete anomale che hanno origine nei driver;
• applicazione di regole: impostazione di regole specifiche in grado di bloccare l’attività di determinati software o rilevare malware che sfruttano i driver vulnerabili;
• aggiornamento costante: ricerca continua di informazioni sulle minacce cyber più recenti e sulle nuove tecniche utilizzate dai criminali informatici.

In che modo il Threat Hunting può fronteggiare gli attacchi BYOVD

Grazie all’esperienza acquisita nelle attività di sicurezza quotidiane, gli analisti del SOC che si occupano di Threat Hunting interpretano le informazioni raccolte e applicano regole specifiche in grado di rilevare malware che hanno sfruttato driver vulnerabili, nonché di bloccare software “particolari”, apparentemente innocui ma usati in modo malevolo dai threat actor.

Gli specialisti di Threat Hunting di un Security Operations Center applicano un tocco umano a informazioni statiche come gli alert di una soluzione XDR e i dati di intelligence. Senza l’occhio esperto di un analista, una soluzione di cybersecurity con processi automatizzati potrebbe non essere sufficiente a rilevare le minacce più avanzate.

L’elenco di driver vulnerabili fornito da Microsoft è prezioso, ma solo nelle mani di chi sa utilizzarlo in modo concreto. Solo gli specialisti di Threat Hunting di un SOC hanno le competenze richieste per interpretare e attivare la blocklist, in modo da ostacolare gli attacchi che sfruttano driver vulnerabili.

Perché affidarsi a un SOC che offre un servizio di Threat Hunting

Nel corso del presente articolo, abbiamo illustrato in che modo un driver vulnerabile può consentire a un threat actor di ottenere autorizzazioni di livello kernel su un endpoint. Questo tipo di intrusione, chiamata BYOVD, consente a un criminale di disattivare una soluzione di sicurezza avanzata come l’EDR per poi concretizzare un attacco.
Di fronte a questo rischio, possiamo affermare che sia fondamentale affidarsi a un partner IT in grado non solo di erogare una soluzione di sicurezza avanzata, ma anche di monitorarla costantemente grazie al supporto di un Security Operations Center attivo 24/7. Grazie all’attività di Threat Hunting, il SOC può inoltre fornire un servizio proattivo di arricchimento della soluzione di sicurezza.