Два клика до катастрофы: Killer Ultra против EDR и антивирусов

Специалисты ARC Labs обнаружили и проанализировали новый инструмент, используемый в атаках программ-вымогателей Qilin. Эта вредоносная программа, названная «Killer Ultra», предназначена для отключения популярных средств обнаружения и реагирования на угрозы ( EDR ) и антивирусного ПО.

Эксперты ARC Labs провели глубокий анализ, чтобы понять полный функционал Killer Ultra и предоставить тактическую разведку угроз для организаций. В ходе анализа было обнаружено, что Killer Ultra получает разрешения на уровне ядра и нацеливается на инструменты безопасности известных брендов. Программа очищает все журналы событий Windows и использует уязвимую версию легитимной защитной программы Zemana AntiLogger для произвольного завершения процессов.

CVE-2024-1853 — уязвимость в Zemana AntiLogger, которая позволяет злоумышленникам завершать процессы ПО для обеспечения безопасности. В мае 2023 года хакер под псевдонимом «SpyBoy» включил эту уязвимость в инструмент «Terminator», продаваемый на киберпреступных форумах.

Когда Killer Ultra запускается, он использует системный процесс «notepad.exe» для сокрытия своей активности. Вредоносная программа заменяет системный компонент NTDLL на версию из «notepad.exe». Это помогает скрыть её действия от программ безопасности, которые могут следить за системой.

NTDLL (NT Layer DLL) — это системная библиотека Windows, которая обеспечивает интерфейс между прикладными программами и ядром операционной системы. Она содержит множество функций, необходимых для выполнения различных задач на уровне операционной системы, таких как управление процессами, памятью и вводом-выводом.

После инициализации, Killer Ultra загружает незатронутую копию NTDLL и извлекает драйвер Zemana на локальный диск. Затем запускается служба «StopGuard», которая отключает процессы безопасности, перечисленные в программе. Killer Ultra нацелен на такие продукты, как Symantec Antivirus, Microsoft Windows Defender и SentinelOne.

Для предотвращения повторного запуска инструментов безопасности после перезагрузки системы, Killer Ultra создаёт две запланированные задачи: «Microsoft Security» и «Microsoft Maintenance», которые запускают программу при старте системы.

Killer Ultra также использует утилиту «wevtutil.exe» для очистки журналов событий Windows, что затрудняет выявление следов активности вредоносной программы.

Анализ кода Killer Ultra показал наличие неактивных функций, которые могут быть использованы для постэксплуатационных целей. Программа может загружать инструменты из удалённых источников, выполнять процессы с помощью функции CreateProcessW, а также задействовать функции виртуализации и песочницы. Эти возможности пока не активны, но могут быть использованы в будущих версиях Killer Ultra.

Вредоносная программа Killer Ultra представляет серьёзную проблему для систем безопасности. Организациям рекомендуется обновить свои стратегии обнаружения и реагирования, чтобы противостоять этой и подобным угрозам.