En una campaña sofisticada observada por primera vez en octubre de 2024, los atacantes han comenzado a aprovechar un conductor legítimo para deshabilitar el software antivirus en redes comprometidas.
Al abusar del controlador de throttlestop.sys, diseñado originalmente por TechPowerUp para administrar el acelerador de la CPU, el malware gana acceso a la memoria a nivel de núcleo para terminar los procesos de seguridad a voluntad.
El acceso inicial se logra con mayor frecuencia a través de credenciales RDP robadas o cuentas administrativas forzadas con bruta, lo que permite al adversario desplegar el asesino AV junto con cargas útiles de ransomware como Medusalocker.
Los analistas de SecureList notaron que una vez dentro de la red, los actores de amenaza extraen credenciales adicionales de los usuarios con herramientas como Mimikatz y se mueven lateralmente utilizando técnicas de pases a pie a través de Invoke-Wmiexec.ps1 o Invoke-SmbExec.ps1.
Después del movimiento lateral, el atacante carga dos artefactos centrales: ThrottleBlood.sys (el controlador vulnerable renombrado) y All.exe (The AV Killer), a directorios de usuarios como C: \ Users \ Administrator \ Music.
El defensor de Windows y otras plataformas de protección de punto final inicialmente contienen el ransomware, pero el asesino AV termina rápidamente sus procesos, dejando los sistemas indefensos.
El impacto del malware ha sido severo, particularmente en industrias con puntos finales RDP expuestos. Las víctimas en Brasil, Ucrania, Kazajstán, Bielorrusia y Rusia han informado un cifrado generalizado de datos críticos, con esfuerzos de recuperación obstaculizados por los mecanismos de defensa discapacitados.
Flujo incidente (Fuente – Securelist)
Investigadores de seguridad identificado que las características tradicionales de defensa propia en los productos de Kaspersky, como la protección del proceso de memoria y el monitoreo del registro, contrarrestan este asesino AV, pero muchas organizaciones dependen de soluciones menos resistentes.
Mecanismo de infección a través del controlador vulnerable
En el corazón de este asesino AV se encuentra la explotación de dos funciones vulnerables de IOCTL en el controlador de throttlestop.sys, que permiten lecturas y escrituras de memoria física arbitraria.
Descripción general de la comunicación del controlador del dispositivo de throttlestop (Fuente – SecurElist)
Después de cargar el bloque de aceleraciones.
Usando una biblioteca de traducción basada en Superfetch, convierte la dirección virtual de Ntaddatom en una dirección física.
// Ejemplo de invocación de IOCTL para escribir el kernel de dispositivos de memoria del núcleo (hdevice, 0x8010002c, // vulnerable write_ioctl y carga útil, carga útil, nulo, 0 y byteseturned, nulo);
Una vez que se deriva la dirección física, All.exe escribe un pequeño trozo de código de carcasa que salta a funciones arbitrarias del núcleo como PsterminateProcess.
En un bucle continuo, el malware enumera los procesos con Process32FirstW y Process32NextW, que coincide con cada uno con una lista codificada de ejecutables antivirus, que se extiende desde msmpeng.exe (Windows Defender) con ekrn.exe (ESET).
Al encontrar una coincidencia, invoca pslookuprocessbyid para obtener un mango y luego llama a PsterminateProcess para matar el servicio.
Inyección de código del kernel (fuente – Securelist)
Al restaurar los bytes originales del núcleo después de cada ejecución, el AV Killer evita los bloqueos del sistema y evade la detección.
Esta elegante combinación de abuso legítimo del conductor y la inyección de código de nivel de kernel subraya la necesidad urgente de monitoreo de integridad del conductor y estrategias de defensa en profundidad, incluidas políticas estrictas de RDP, autenticación multifactor y escaneo de vulnerabilidad de rutina.
Equipe su SOC con el acceso completo a los últimos datos de amenazas de cualquiera. Obtenga una prueba gratuita de 14 días
