Qilin e Warlock BYOVD: come il ransomware disabilita 300+ soluzioni EDR utilizzando driver vulnerabili
@Informatica (Italy e non Italy)
Qilin e Warlock utilizzano la tecnica BYOVD per disabilitare oltre 300 soluzioni EDR con driver vulnerabili del kernel, rappresentando una escalation significativa nella sofisticazione del ransomware RaaS.
Qilin e Warlock BYOVD: come il ransomware disabilita 300+ soluzioni EDR utilizzando driver vulnerabili
Qilin e Warlock, due dei ransomware RaaS (Ransomware-as-a-Service) più sofisticati del panorama criminale, hanno potenziato significativamente le loro capacità di evasione implementando la tecnica BYOVD (Bring Your Own Vulnerable Driver). La nuova strategia consente ai malware di disabilitare oltre 300 soluzioni EDR/XDR utilizzando driver vulnerabili del kernel, rendendo inefficaci quasi tutti i sistemi di rilevamento degli endpoint contemporanei.Dalla lateralizzazione alla disattivazione: la nuova tattica Qilin
Qilin rappresenta una delle principali operazioni di ransomware RaaS attualmente operative. Il gruppo ha consolidato il controllo su decine di reti aziendali utilizzando metodologie di accesso ben collaudate e movimentazione laterale. Tuttavia, la fase finale dell’attacco era frequentemente rilevata dagli EDR in grado di identificare comportamenti malware tipici durante la crittografia di file.Con l’introduzione della catena di infezione EDR-Killer, Qilin ha chiuso questa lacuna critica. Gli attacchi moderni seguono un pattern ben definito: accesso iniziale, lateralizzazione (6 giorni medi), disattivazione degli EDR, dispiegamento ransomware.
La catena multi-stadio: msimg32.dll e il carico del Kernel
La catena di infezione EDR-Killer di Qilin utilizza la tecnica classica del DLL Side-Loading per eseguire una DLL malevola denominata “msimg32.dll”. Per mantenere la funzionalità attesa, la DLL malevola invia gli API call legittimi alla libreria legittima in C:\Windows\System32, mascherando completamente la sua attività malevola.Lo stadio 1 implementa una tabella slot-policy per l’evasione delle syscall e la tecnica “Halo’s Gate”, consentendo al codice malware di invocare direttamente funzioni di kernel bypassando i filtri tradizionali. Gli stadi 2-3 presentano offuscamento del flusso di controllo VEH-based complesso.
Il doppio carico di driver: rwdrv.sys e hlpdrv.sys
rwdrv.sys è una versione rinominata di “ThrottleStop.sys”, uno strumento legittimo di tuning dei processori Intel. Sfruttando una vulnerabilità nel driver originale, Qilin lo utilizza per ottenere accesso diretto alla memoria fisica del sistema. Una volta caricato nel kernel, rwdrv.sys funziona come un livello di accesso hardware di modo kernel.hlpdrv.sys è il vero “EDR killer”. Lavora in stretto coordinamento con rwdrv.sys per terminare i processi associati a oltre 300 diversi driver EDR appartenenti a praticamente ogni maggiore fornitore di sicurezza. Prima di caricare hlpdrv.sys, il componente EDR-killer annulla la registrazione dei callback di monitoraggio stabiliti dall’EDR, accecando efficacemente lo strumento di rilevamento a livello di kernel.
Meccanismo di disattivazione tecnica: callback unregistration
I sistemi di rilevamento moderni utilizzano callback di kernel registrati per monitorare eventi critici: creazione di processi, creazione di thread, caricamento di moduli/DLL, operazioni di file system. Iterando attraverso una lista hardcoded di oltre 300 driver EDR, Qilin annulla sistematicamente la registrazione dei loro callback di monitoraggio.Senza questi callback, l’EDR diventa essenzialmente cieco: non può rilevare nuovi processi, non può intercettare thread sospetti, non può monitorare il caricamento di moduli malware. Una volta che i callback sono stati annullati, hlpdrv.sys procede a terminare i processi del servizio EDR stesso, disattivando completamente la protezione in tempo reale.
Timeline e implicazioni per la difesa
L’analisi forense rivela un pattern tattico coerente: accesso iniziale via credenziali compromesse, lateralizzazione (6 giorni medi), EDR disattivazione, dispiegamento ransomware. Questa evoluzione tattica rappresenta una significativa escalation nella sofisticazione dei ransomware RaaS.Per la difesa: implementare il Kernel Patch Protection (KPP/HVCI), implementare Device Guard per il whitelisting dei driver firmati, implementare segmentazione di rete aggressiva, monitorare il movimento laterale, implementare il privileged access management (PAM). Se il caricamento di un driver sospetto viene rilevato, avviare immediatamente un killchain completo dell’incidente con isolamento di rete e acquisizione forense.