Qilin i Warlock wykorzystują podatne sterowniki do wyłączania EDR i obchodzenia ochrony Windows

securitybeztabu.pl 1 dzień temu

Wprowadzenie do problemu / definicja

Technika BYOVD, czyli Bring Your Own Vulnerable Driver, polega na wykorzystaniu legalnie podpisanych, ale podatnych sterowników do uzyskania dostępu na poziomie jądra systemu. W praktyce daje to atakującym możliwość obchodzenia mechanizmów ochronnych, wyłączania agentów bezpieczeństwa i ograniczania widoczności działań po przejęciu stacji lub serwera.

Najnowsze obserwacje pokazują, iż grupy ransomware Qilin i Warlock aktywnie stosują ten model operacyjny, aby neutralizować rozwiązania EDR i zwiększać skuteczność końcowych etapów ataku. To wyraźny sygnał, iż sama ochrona endpointów bez kontroli integralności sterowników staje się niewystarczająca.

W skrócie

  • Qilin i Warlock wykorzystują technikę BYOVD do wyłączania lub omijania zabezpieczeń endpointów.
  • Qilin stosuje wieloetapowy łańcuch infekcji z użyciem biblioteki „msimg32.dll” uruchamianej techniką DLL side-loading.
  • Ładunek Qilin ma zdolność eliminowania ponad 300 sterowników EDR należących do wielu dostawców.
  • Warlock łączy eksploatację niezałatanych serwerów SharePoint z użyciem podatnego sterownika jądra do terminowania produktów ochronnych.
  • Oba przypadki pokazują rosnące znaczenie ataków wymierzonych bezpośrednio w mechanizmy kernel-mode.

Kontekst / historia

BYOVD nie jest nowym zjawiskiem, jednak w ostatnich latach stał się szczególnie ważnym elementem operacji ransomware. Zamiast tworzyć własne rootkity, operatorzy coraz częściej sięgają po podpisane sterowniki wydane pierwotnie do legalnych zastosowań, ale zawierające luki umożliwiające wykonywanie uprzywilejowanych operacji.

Taki model jest atrakcyjny z perspektywy przestępców, ponieważ pozwala przejść przez część mechanizmów zaufania systemu Windows i wykonywać działania na poziomie jądra bez konieczności stosowania bardziej zaawansowanych exploitów. To również utrudnia detekcję, ponieważ wykorzystywane komponenty na pierwszy rzut oka mogą wyglądać jak legalne elementy systemowe.

W analizowanych kampaniach Qilin wyróżnia się skalą aktywności oraz naciskiem na działania po uzyskaniu dostępu. Warlock z kolei rozwija klasyczny schemat ransomware o szerokie użycie narzędzi administracyjnych i tunelujących, co wskazuje na dojrzały model prowadzenia intruzji. Wspólnym mianownikiem obu operacji jest próba wyłączenia telemetrii i ochrony jeszcze przed wdrożeniem szyfrowania lub eksfiltracji danych.

Analiza techniczna

W przypadku Qilin łańcuch infekcji rozpoczyna się od biblioteki „msimg32.dll”, uruchamianej techniką side-loading. Komponent ten działa jako loader PE, który przygotowuje środowisko wykonawcze dla adekwatnego modułu odpowiedzialnego za neutralizację narzędzi ochronnych. Drugi etap jest osadzony w loaderze w postaci zaszyfrowanej i deszyfrowany dopiero podczas działania w pamięci, co ogranicza liczbę artefaktów pozostawianych na dysku.

Loader wykorzystuje kilka mechanizmów utrudniających wykrycie. Obejmują one neutralizację hooków w przestrzeni użytkownika, tłumienie zdarzeń Event Tracing for Windows oraz ukrywanie wzorców przepływu sterowania i wywołań API. Celem jest ograniczenie widoczności zarówno dla produktów EDR, jak i dla narzędzi analizy behawioralnej.

Po uruchomieniu malware korzysta z dwóch sterowników. Pierwszy, „rwdrv.sys”, jest przemianowaną wersją „ThrottleStop.sys” i służy do uzyskania dostępu do pamięci fizycznej jako warstwa działająca w trybie jądra. Drugi, „hlpdrv.sys”, odpowiada za końcowe terminowanie procesów i komponentów związanych z ponad 300 sterownikami EDR. Przed jego załadowaniem malware wyrejestrowuje callbacki monitorujące ustanowione przez oprogramowanie ochronne, aby proces dezaktywacji przebiegał bez zakłóceń.

W przypadku Warlock technika BYOVD została zintegrowana z szerszym łańcuchem ataku. Grupa wykorzystuje niezałatane serwery Microsoft SharePoint, a następnie wdraża zestaw narzędzi wspierających trwałość, ruch boczny i unikanie detekcji. Wśród obserwowanych elementów znalazły się TightVNC, PsExec, RDP Patcher, Velociraptor, Visual Studio Code, Cloudflare Tunnel, Yuze i Rclone. Do wyłączania produktów bezpieczeństwa na poziomie jądra wykorzystywany jest podatny sterownik „NSecKrnl.sys”, który zastąpił wcześniejszy komponent używany w poprzednich kampaniach.

Z technicznego punktu widzenia najważniejsze jest to, iż oba przypadki pokazują przesunięcie akcentu z prostego omijania procesów user-mode na aktywne operacje przeciwko mechanizmom kernel-mode. Oznacza to, iż klasyczne wykrywanie oparte na procesach, usługach lub artefaktach na dysku może nie wystarczać, jeżeli organizacja nie monitoruje ładowania sterowników, zmian integralności jądra oraz anomalii w callbackach systemowych.

Konsekwencje / ryzyko

Najpoważniejszą konsekwencją użycia BYOVD jest możliwość skutecznego oślepienia narzędzi obronnych jeszcze przed uruchomieniem adekwatnego ransomware. o ile agent EDR zostanie wyłączony lub jego sterowniki zostaną unieszkodliwione, organizacja traci widoczność telemetryczną w najbardziej krytycznej fazie incydentu.

Utrudnia to wykrycie eskalacji uprawnień, identyfikację eksfiltracji danych, obserwację ruchu bocznego oraz rozpoznanie przygotowań do szyfrowania. Dodatkowe ryzyko wynika z wykorzystania legalnie podpisanych sterowników, które mogą zostać początkowo uznane za wiarygodne przez system operacyjny i część narzędzi kontroli aplikacji.

Jeśli środowisko nie wdraża ścisłej polityki dopuszczania sterowników, atakujący mogą uruchomić kod jądra bez konieczności używania podatności typu zero-day. W praktyce zwiększa to skuteczność ataków na organizacje o wysokim poziomie dojrzałości bezpieczeństwa, które opierają się głównie na ochronie endpointów i detekcji behawioralnej.

W przypadku Qilin dodatkowo niepokojący jest czas pomiędzy uzyskaniem dostępu a uruchomieniem ransomware, wynoszący średnio około sześciu dni. Taki odstęp daje przestępcom możliwość rozpoznania środowiska, pozyskania poświadczeń, eskalacji uprawnień i przygotowania mechanizmów wyłączania ochrony. Oznacza to, iż okno na wykrycie ataku istnieje, ale gwałtownie się zamyka, jeżeli telemetryka zostanie osłabiona na późniejszym etapie operacji.

Rekomendacje

Organizacje powinny wdrożyć ścisłą kontrolę sterowników ładowanych w systemach Windows, w tym ograniczenie do podpisanych komponentów pochodzących wyłącznie od jawnie zaufanych wydawców. Sam podpis cyfrowy nie powinien być jedynym kryterium zaufania, ponieważ to właśnie legalne, ale podatne sterowniki są nadużywane w technice BYOVD.

Niezbędne jest monitorowanie zdarzeń związanych z instalacją i ładowaniem sterowników oraz korelowanie ich z anomaliami w pracy agentów EDR. Szczególną uwagę warto poświęcić przypadkom pojawienia się nietypowych plików SYS, zmianom w callbackach jądra, nagłemu zanikowi telemetrii oraz nieoczekiwanemu zakończeniu procesów ochronnych.

Kluczowe pozostaje również rygorystyczne zarządzanie poprawkami, zwłaszcza dla komponentów bezpieczeństwa wykorzystujących sterowniki oraz dla systemów brzegowych, takich jak SharePoint. W środowiskach o podwyższonym ryzyku warto rozważyć dodatkowe mechanizmy polityk aplikacyjnych, kontroli integralności kernela oraz regularne przeglądy list blokowanych podatnych sterowników.

Po stronie operacyjnej warto rozwijać procedury wykrywania aktywności poprzedzającej szyfrowanie, takich jak kradzież poświadczeń, ruch boczny, użycie narzędzi administracyjnych, tunelowanie ruchu oraz eksfiltracja danych. Obrona przed ransomware nie powinna zaczynać się dopiero na etapie uruchomienia szyfratora, ale znacznie wcześniej — w fazie nadużycia dostępu i przygotowania środowiska do sabotażu zabezpieczeń.

Podsumowanie

Aktywność Qilin i Warlock pokazuje, iż BYOVD stał się dojrzałym i praktycznym narzędziem w arsenale operatorów ransomware. Wzorzec jest coraz bardziej czytelny: najpierw wyłączenie ochrony na poziomie endpointu i kernela, następnie utrzymanie dostępu, ruch boczny i przygotowanie środowiska, a dopiero na końcu działania destrukcyjne lub wymuszające okup.

Dla zespołów bezpieczeństwa oznacza to konieczność przesunięcia uwagi z samego malware na wcześniejsze etapy intruzji oraz na kontrolę integralności sterowników i widoczność działań w jądrze systemu. Bez tego choćby zaawansowane rozwiązania EDR mogą zostać skutecznie unieszkodliwione przed momentem, w którym zdążą zareagować.

Źródła

  1. The Hacker News — Qilin and Warlock Ransomware Use Vulnerable Drivers to Disable 300+ EDR Tools — https://thehackernews.com/2026/04/qilin-and-warlock-ransomware-use.html
  2. Cisco Talos Blog — Qilin ransomware technical analysis — https://blog.talosintelligence.com/qilin-ransomware/
  3. Trend Micro Research — Inside Water Gamayun/Warlock ransomware attack playbook — https://www.trendmicro.com/en_us/research/26/d/inside-water-gamka-warlock-ransomware-attack-playbook.html
  4. MITRE ATT&CK — BYOVD and defense evasion related techniques — https://attack.mitre.org/
Idź do oryginalnego materiału
  1. Strona główna
  2. Ransomware
  3. Qilin i Warlock wykorzystują podatne sterowniki do wyłączania EDR i obchodzenia ochrony Windows

Powiązane

Niemiecka policja zdemaskowała Rosjan. realizowane są poszukiwania

Niemiecka policja zdemaskowała Rosjan. realizowane są poszuk...

19 godzin temu
Niemcy ujawniają „UNKN”. Domniemany lider REvil i GandCrab zidentyfikowany

Niemcy ujawniają „UNKN”. Domniemany lider REvil i GandCrab z...

1 dzień temu
Qilin deklaruje atak na niemiecką partię Die Linke. Rosnące ryzyko ransomware wobec organizacji politycznych

Qilin deklaruje atak na niemiecką partię Die Linke. Rosnące ...

3 dni temu
Dysk Google z istotną zmianą. AI ochroni cię przed ransomware

Dysk Google z istotną zmianą. AI ochroni cię przed ransomwar...

6 dni temu
Qilin rzekomo atakuje Dow Inc. – analiza doniesień o możliwym incydencie ransomware

Qilin rzekomo atakuje Dow Inc. – analiza doniesień o możliwy...

1 tydzień temu
Iran reaktywuje Pay2Key i rozwija pseudo-ransomware jako narzędzie presji geopolitycznej

Iran reaktywuje Pay2Key i rozwija pseudo-ransomware jako nar...

1 tydzień temu
Grupa ransomware ALP-001 twierdzi, iż zaatakowała Polsat

Grupa ransomware ALP-001 twierdzi, iż zaatakowała Polsat

1 tydzień temu
Strach ma wielkie oczy. Scareware, czyli co trzeba wiedzieć o fałszywych alertach

Strach ma wielkie oczy. Scareware, czyli co trzeba wiedzieć ...

1 tydzień temu

Polecane

To koniec pieców gazowych. Jest data i jednoznaczna decyzja

To koniec pieców gazowych. Jest data i jednoznaczna decyzja

13 godzin temu
Zielona Góra. Kradzież trzech kolekcjonerskich motocykli Jawa

Zielona Góra. Kradzież trzech kolekcjonerskich motocykli Jaw...

14 godzin temu
Koniec tanich śmieci w Chełmie. Podwyżki sięgną kilkudziesięciu procent

Koniec tanich śmieci w Chełmie. Podwyżki sięgną kilkudziesię...

15 godzin temu
NASZ PATRONAT: 14. Ogólnopolski Szczyt Energetyczny OSE GDAŃSK 2026

NASZ PATRONAT: 14. Ogólnopolski Szczyt Energetyczny OSE GDAŃ...

16 godzin temu
Gmina Łęczyca stawia na zieloną energię – projekt „Budowa instalacji OZE na terenie Gminy Łęczyca” na finiszu

Gmina Łęczyca stawia na zieloną energię – projekt „Budowa in...

18 godzin temu
Kradzież zaraz po wyjściu z więzienia

Kradzież zaraz po wyjściu z więzienia

18 godzin temu
Mały atom, duże ryzyko. Co łączy Fukushimę i SMR

Mały atom, duże ryzyko. Co łączy Fukushimę i SMR

20 godzin temu
Postanowienie nr.2/2026 Międzynarodowego Sądu MSAPN o zachowanie życia i pokoju w Polsce-Lechistanie i na Ziemi !

Postanowienie nr.2/2026 Międzynarodowego Sądu MSAPN o zacho...

1 dzień temu
Systemy ciepłownicze Polski i Niemiec zostaną połączone

Systemy ciepłownicze Polski i Niemiec zostaną połączone

1 dzień temu