
Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Współczesne kampanie ransomware coraz rzadziej ograniczają się wyłącznie do szyfrowania danych. Coraz częściej poprzedza je faza przygotowawcza, w której napastnicy wyłączają, osłabiają lub omijają mechanizmy obronne obecne w środowisku ofiary. Właśnie taki model działania reprezentuje GodDamn — rodzina ransomware powiązana z wcześniejszymi kampaniami Monster i Beast.
Najbardziej niepokojącym elementem tej odsłony jest wykorzystanie sterownika jądra PoisonX. Dzięki działaniu na poziomie kernela systemu Windows atakujący mogą ograniczać skuteczność narzędzi EDR, AV oraz innych rozwiązań monitorujących jeszcze przed uruchomieniem właściwego szyfrowania. To znacząco zwiększa szanse powodzenia całego ataku i utrudnia jego wczesne wykrycie.
W skrócie
GodDamn to rozwinięcie wcześniejszych rodzin ransomware przypisywanych operatorowi śledzonemu jako Hyadina. W analizowanym incydencie napastnicy zastosowali podpisany sterownik PoisonX, aby osłabić działanie zabezpieczeń na poziomie systemowym.
- wykorzystano sterownik działający w trybie jądra Windows,
- użyto AnyDesk do zdalnego dostępu,
- wdrożono narzędzia do kradzieży poświadczeń,
- przeprowadzono skanowanie sieci i ruch boczny z użyciem PsExec,
- szyfrowanie było dopiero końcowym etapem wieloetapowej operacji.
Kontekst / historia
Z dostępnych analiz wynika, że aktywność operatorów powiązanych z GodDamn sięga co najmniej marca 2022 roku. Jedną z pierwszych rozpoznanych rodzin był Monster, później pojawił się Beast, a obecnie badacze obserwują kolejną iterację pod nazwą GodDamn.
Między tymi kampaniami widoczne są istotne podobieństwa: zbliżony kod, podobny zestaw narzędzi oraz konsekwentne wykorzystywanie legalnych programów administracyjnych. To pokazuje, że nie mamy do czynienia z pojedynczym incydentem, lecz z rozwijanym ekosystemem operacyjnym ransomware.
Szczególne znaczenie ma PoisonX. W odróżnieniu od klasycznych scenariuszy BYOVD, w których przestępcy nadużywają legalnego, ale podatnego sterownika, tutaj mowa o złośliwym komponencie podpisanym w sposób akceptowany przez system. To oznacza wyższy poziom dojrzałości operacyjnej i większe trudności po stronie obrońców.
Analiza techniczna
Atak miał charakter wieloetapowy. Początkowy wektor dostępu nie został jednoznacznie potwierdzony, jednak pierwsze oznaki kompromitacji obejmowały obecność AnyDesk w nietypowej lokalizacji w profilu użytkownika. Może to wskazywać na ręczne działania operatorów po wcześniejszym uzyskaniu dostępu do środowiska.
W kolejnej fazie wdrożono komponent podszywający się pod legalne oprogramowanie zabezpieczające. Jego zadaniem było zainstalowanie sterownika PoisonX w magazynie sterowników systemu Windows. Taki mechanizm dawał napastnikom możliwość działania na poziomie kernela, a więc ingerowania w procesy ochronne, ograniczania ich skuteczności i zakłócania mechanizmów telemetrycznych.
W praktyce oznacza to, że część narzędzi bezpieczeństwa może wyglądać na aktywną i działającą poprawnie, podczas gdy ich zdolność do wykrywania oraz reagowania została już poważnie osłabiona. To jeden z najgroźniejszych aspektów tej kampanii, ponieważ opóźnia identyfikację incydentu i daje atakującym więcej czasu na rozwinięcie operacji.
Równolegle zaobserwowano wykorzystanie narzędzi do kradzieży poświadczeń. Wśród nich znalazły się Mimikatz oraz programy NirSoft służące do odzyskiwania haseł z przeglądarek, klientów pocztowych, konfiguracji sieci bezprzewodowych, sesji VNC i pamięci systemowej. Dodatkowo użyto narzędzi rozpoznawczych do skanowania sieci i identyfikowania kolejnych celów wewnątrz organizacji.
Po etapie przygotowawczym operatorzy przeszli do ruchu bocznego. W tym celu wykorzystano PsExec, a także działania zmierzające do wyłączania monitorowania w czasie rzeczywistym w Windows Defender. Jednocześnie skonfigurowano AnyDesk do dostępu nienadzorowanego, ustawiając autostart usług i trwałość po restarcie systemu.
Faza końcowa obejmowała wdrożenie właściwego ransomware w wydzielonym segmencie sieci. Próbki były dostarczane pod nazwami sugerującymi moduł szyfrujący dla Windows, a zaszyfrowane pliki mogły otrzymywać zarówno charakterystyczne rozszerzenie kampanii, jak i rozszerzenie dostosowane do konkretnej ofiary. Wskazuje to na elastyczne podejście operatorów i możliwość personalizacji ataku.
Konsekwencje / ryzyko
Najpoważniejszym zagrożeniem nie jest tu samo szyfrowanie danych, lecz wcześniejsze osłabienie kontroli bezpieczeństwa. Jeśli napastnicy uzyskują możliwość działania z uprawnieniami jądra, klasyczne zabezpieczenia punktowe mogą zostać częściowo unieszkodliwione jeszcze przed eskalacją aktywności.
Dla organizacji oznacza to kilka warstw ryzyka. Po pierwsze, rośnie prawdopodobieństwo niewykrycia wczesnych etapów kompromitacji. Po drugie, kradzież poświadczeń może doprowadzić do przejęcia kont uprzywilejowanych i dalszej penetracji domeny. Po trzecie, użycie legalnych narzędzi administracyjnych utrudnia odróżnienie działań napastnika od zwykłej aktywności operacyjnej administratorów.
W konsekwencji organizacja może stanąć nie tylko przed utratą dostępności danych, ale również przed długotrwałą kompromitacją środowiska, kosztowną odbudową infrastruktury oraz ryzykiem wycieku danych uwierzytelniających i informacji wrażliwych.
Rekomendacje
Przypadek GodDamn powinien skłonić organizacje do przeglądu ochrony przed nadużyciem sterowników jądra oraz technikami omijania zabezpieczeń. Kluczowe znaczenie ma egzekwowanie polityk blokowania podejrzanych i podatnych sterowników w systemach Windows, a także monitorowanie ich instalacji i ładowania.
Warto również zwrócić szczególną uwagę na niestandardowe wdrożenia narzędzi zdalnego dostępu oraz legalnych utility administracyjnych. Pojawienie się AnyDesk poza standardowymi ścieżkami instalacji, użycie PsExec, uruchomienia PowerShell czy narzędzi do odzyskiwania haseł powinny być traktowane jako sygnały wysokiego ryzyka.
- włączyć i wymuszać kontrolę integralności sterowników,
- monitorować próby wyłączania Windows Defender i innych mechanizmów ochronnych,
- ograniczyć uprawnienia kont użytkowników oraz administratorów zgodnie z zasadą najmniejszych uprawnień,
- stosować wieloskładnikowe uwierzytelnianie dla zdalnego dostępu,
- segmentować sieć i ograniczać komunikację między stacjami roboczymi,
- regularnie rotować poświadczenia uprzywilejowane,
- utrzymywać kopie zapasowe offline i testować procedury odtworzeniowe,
- prowadzić threat hunting pod kątem Mimikatz, NirSoft, niestandardowych sterowników i nietypowych usług systemowych.
Skuteczna obrona wymaga dziś połączenia telemetryki z hostów, analizy behawioralnej, twardych polityk systemowych oraz zdolności do szybkiej izolacji urządzeń, na których wykryto próbę instalacji komponentów działających w trybie jądra.
Podsumowanie
GodDamn pokazuje wyraźnie, że nowoczesne operacje ransomware mają charakter pełnych kampanii intrusion-to-encryption, w których szyfrowanie jest jedynie finałem dłuższego łańcucha ataku. Najważniejszym wyróżnikiem tej rodziny pozostaje wykorzystanie PoisonX — sterownika pozwalającego na oślepianie narzędzi ochronnych na poziomie jądra systemu.
Dla zespołów bezpieczeństwa to kolejny sygnał, że tradycyjne podejście oparte wyłącznie na detekcji plików i procesów jest niewystarczające. Konieczne staje się monitorowanie sterowników, egzekwowanie polityk bezpieczeństwa systemu oraz szybka reakcja na symptomy obchodzenia ochrony z poziomu kernela.
Źródła
- GodDamn Ransomware Uses PoisonX to Blind Security Software — https://securityaffairs.com/195042/malware/goddamn-ransomware-uses-poisonx-to-blind-security-software.html
- Monster Ransomware: Indicators of compromise — https://sed-cms.broadcom.com/system/files/threat-hunter-alert-attachments/2022-12/2022_12_02_Monster_Ransomware_Threat_Alert.pdf
- Reverse-Engineering a 0-Day: PoisonX BYOVD Driver Bypasses CrowdStrike EDR — https://threatlabsnews.xcitium.com/blog/reverse-engineering-a-0-day-poisonx-byovd-driver-bypasses-crowdstrike-edr/