Los equipos de seguridad cibernética han enfrentado una creciente amenaza de una nueva carga útil de “asesino EDR” en los últimos meses, comúnmente conocido como avkiller, que se ha observado deshabilitando las defensas de punto final para facilitar el despliegue de ransomware.
Detectado por primera vez a mediados de 2024, esta herramienta aprovecha el heartcrypt Packer como un servicio para oscurecer su verdadera funcionalidad y pasar más allá de las verificaciones tradicionales de firma estática.
Los atacantes generalmente entregan avkiller a través de un gotero que se disfraza de una utilidad legítima, a menudo inyectando código malicioso en ejecutables firmados como Beyond Compare.
Tras la ejecución, Avkiller decodifica su carga útil muy protegida en la memoria, busca controladores de seguridad específicos y procede a terminar los procesos asociados, creando una ruta clara para el cifrado posterior de ransomware.
Analistas de Sophos identificado Las muestras de avkiller iniciales dirigidas a productos Sophos, y las variantes posteriores ampliaron su enfoque para incluir un amplio espectro de proveedores como Bitdefender, Kaspersky, Sentinelone y Microsoft Defender.
La herramienta busca un archivo de controlador con nombre al azar (por ejemplo, Mraml.sys), lo carga si está presente y luego termina los procesos o servicios asociados con las soluciones antivirus y EDR conocidas.
Una lista de procesos dirigidos por la herramienta (fuente – Sophos)
Si falta el controlador, Avkiller crea un servicio con nombre similar y aborta con un mensaje de error, “no pudo obtener el dispositivo”, asegurando que los defensores encuentren artefactos forenses limitados.
El impacto de Avkiller ha sido significativo. En un incidente de alto perfil, el Grupo RansomHub implementó la carga útil contra una gran red empresarial, deshabilitando con éxito los mecanismos de detección dinámica y de control de dispositivos antes de desatar el cifrado de archivos.
En cuestión de minutos, los servidores cruciales se vieron comprometidos y los esfuerzos de recuperación se vieron obstaculizados por la ausencia de protección ADR activa.
El análisis de los datos de telemetría reveló que Avkiller ejecutó múltiples rutinas de bloqueo SYSCALL, evitando que las herramientas de respuesta en vivo inyecten procesos protegidos.
Este nivel de sofisticación subraya la tendencia creciente de los adversarios que invierten en herramientas especializadas en las cosas para neutralizar las operaciones de seguridad.
Mecanismo de infección y tácticas de evasión
La infección comienza con un ejecutable de gotero lleno de HeartCrypt, diseñado para evadir las firmas AV estáticas.
Los detalles de la firma digital muestran que se sabe que es abusado (fuente – Sophos)
Una vez en la memoria, Avkiller emplea un cargador personalizado que descifra la carga útil integrada utilizando una rutina XOR.
El cargador enumera los controladores cargados y busca un nombre generado al azar de cinco letras, codificado dentro de la carga útil decodificada.
Cuando se carga el controlador de destino, Avkiller emite llamadas del sistema directo para rescindir procesos de seguridad críticos:-
Manejar hdevice = createFilew (l “\\\\. if (hdevice == invalid_handle_value) {fprintf (stderr, “no se pudo obtener el dispositivo \ n”); salida (exit_failure); } NtminateProcess (HProcess, status_success);
Al pasar por alto los ganchos API en modo de usuario e invocar NTTerminateProcess directamente, Avkiller evita los puntos comunes de intercepción EDR.
El controlador en sí está firmado digitalmente con un certificado comprometido, que se extiende desde Changsha Hengxiang Information Technology Co., Ltd. hasta Fuzhou Dingxin Trade Co., Ltd., los cuales expiró hace años pero no se revocan en las listas de verificación de kernel.
Esta técnica permite que el conductor se cargue sin elevar sospechas inmediatas de las verificaciones de integridad del kernel.
Tras la terminación exitosa de los servicios de seguridad, el gotero desencadena la carga útil de ransomware, a menudo vinculada a familias como Blacksuit, Medusalocker e Inc, que acompañan la cadena de matar.
El diseño modular de Avkiller permite actualizaciones rápidas a listas de objetivos y capas de embalaje, lo que indica un desarrollo activo y compartir entre grupos de ransomware competidores.
A medida que los defensores se adaptan, comprender e interceptar las rutinas del sistema del cargador de Avkiller y el comportamiento de carga del conductor siguen siendo críticos para frustrar estos ataques sofisticados.
Equipe su SOC con el acceso completo a los últimos datos de amenazas de cualquiera. Obtenga una prueba gratuita de 14 días
