Source: Cisco Talos — Dans une analyse technique, Talos détaille une campagne de ransomware DeadLock utilisant un loader BYOVD inédit pour exploiter la vulnérabilité du driver Baidu Antivirus (CVE-2024-51324), neutraliser les EDR, étendre l’accès puis chiffrer des systèmes Windows avec un algorithme maison.

  • Exploitation BYOVD et évasion des défenses. L’acteur place un loader (« EDRGay.exe ») et le driver vulnérable de Baidu renommé (« DriverGay.sys ») dans le dossier Vidéos, initialise le périphérique « \.\BdApiUtil » et envoie un IOCTL 0x800024b4 (fonction 0x92D) pour forcer, en mode noyau, la terminaison des processus EDR (ZwTerminateProcess) sans vérification de privilèges — T1211: Exploitation for Defense Evasion. Cette étape désactive les défenses et élève les privilèges pour préparer le chiffrement.

  • Préparation par script PowerShell. Un script PowerShell élève les privilèges en contournant l’UAC (T1548.002), désactive Windows Defender, stoppe et désactive durablement de nombreux services (hors liste d’exclusion critique), supprime toutes les copies shadow (T1490) et s’auto-supprime. Des commandes (présentes mais désactivées) prévoient la suppression de partages réseau et l’arrêt de services/processus par d’autres moyens. La liste d’exclusions peut être lue dynamiquement depuis « run[.]txt ».

  • Accès initial, persistance et mouvement latéral. Talos relie l’accès initial à des comptes valides compromis (T1078) puis à des modifications registre/pare-feu pour activer RDP et ouvrir le port 3389 (T1112, T1021.001, T1562.004, T1569.002). La persistance s’appuie sur l’installation silencieuse d’AnyDesk avec démarrage auto et mot de passe d’accès non supervisé (T1219.002). La reconnaissance et le mouvement latéral utilisent nltest, net local group, mstsc, mmc compmgmt.msc, ping, quser et même iexplore vers des ressources internes (T1018, T1069.002, T1033, T1046, T1218.014, T1102). Les défenses sont encore affaiblies via SystemSettingsAdminFlows.exe pour désactiver la RTP, le cloud et la soumission d’échantillons de Defender (T1562.001, T1218).

  • Charge utile DeadLock (Windows). L’encryptor C++ (actif depuis juillet 2025) lance un .cmd qui prépare l’environnement (chcp 65001), relance le binaire puis s’efface. Le ransomware se camoufle par process hollowing dans rundll32.exe, parse une configuration intégrée de 8 888 octets (seed crypto, timings, listes de processus/services à tuer, exclusions, ID de campagne, note de rançon, marqueur HTML). Une clé numérique de 65 caractères et des paramètres temporels (1000, 0055242988) servent au chiffrement. Il tue des outils d’accès distant (AnyDesk, RustDesk, mstsc), de stockage cloud (Dropbox, OneDrive), des sécurités (msmpeng, SmartScreen), ainsi que bases de données (MSSQL, Sybase, MySQL), sauvegardes (Veeam, Veritas, Acronis, Arcserve, Carbonite) et divers apps (QuickBooks, Exchange, Tomcat, VMware), tout en excluant dossiers/Extensions/fichiers critiques pour maintenir la stabilité. Le chiffrement utilise un stream cipher maison avec seed temporel (GetSystemTimeAsFileTime), traite les fichiers en blocs de 16 octets, puis renomme en « .dlock » avec identifiant hex. Un délai anti-sandbox de 50 s est appliqué. Des artefacts (icône, batch, bitmap) sont déposés sous ProgramData; l’icône de l’extension .dlock est configurée via la clé registre DefaultIcon; le fond d’écran est changé et des utilitaires CLI sont désactivés. La note de rançon (texte et HTML) est déposée partout; contact via Session messenger; pas de site de fuite.

  • Couverture/détections et artefacts. Talos fournit des SIDs Snort (65576, 65575, 301358) et des signatures ClamAV (Win.Tool.EDRKiller-10058432-0, Win.Tool.VulnBaiduDriver-10058431-1, Ps.Tool.DeleteShadowCopies-10058429-0, Win.Ransomware.Deadlock-10058428-0). Les IOCs supplémentaires incluent des noms de fichiers (« EDRGay.exe », « DriverGay.sys », « BdApiUtil.sys »), le device « \.\BdApiUtil », l’IOCTL 0x800024b4, l’extension « .dlock », le motif de note « READ ME.hex_identifier.txt », le dépôt sous « ProgramData » et le dossier « Videos ». Les clés/commandes notables: fDenyTSConnections=0 pour activer RDP, règle pare-feu TCP/3389, service RemoteRegistry démarré, et commandes AnyDesk d’installation silencieuse. L’objectif principal de cette publication est une analyse technique de menace et la mise à disposition de détections/IOC. 🔐🧰

TTPs (MITRE ATT&CK) observés:

  • T1211 (Exploitation for Defense Evasion) — BYOVD Baidu driver CVE-2024-51324
  • T1548.002 (Bypass UAC); T1490 (Inhibit System Recovery)
  • T1078 (Valid Accounts); T1112 (Modify Registry); T1021.001 (RDP)
  • T1562.004 (Disable/Modify Firewall); T1569.002 (Service Execution)
  • T1219.002 (Remote Desktop Software/AnyDesk)
  • T1018, T1069.002, T1033, T1046, T1218.014 (MMC), T1102 (Web Service)
  • T1562.001 (Disable/Modify Tools); T1218 (System Binary Proxy Execution)

🧠 TTPs et IOCs détectés

TTP

[‘T1211 (Exploitation for Defense Evasion)’, ‘T1548.002 (Bypass UAC)’, ‘T1490 (Inhibit System Recovery)’, ‘T1078 (Valid Accounts)’, ‘T1112 (Modify Registry)’, ‘T1021.001 (RDP)’, ‘T1562.004 (Disable/Modify Firewall)’, ‘T1569.002 (Service Execution)’, ‘T1219.002 (Remote Desktop Software/AnyDesk)’, ‘T1018 (Remote System Discovery)’, ‘T1069.002 (Domain Group Enumeration)’, ‘T1033 (System Owner/User Discovery)’, ‘T1046 (Network Service Scanning)’, ‘T1218.014 (Signed Binary Proxy Execution: MMC)’, ‘T1102 (Web Service)’, ‘T1562.001 (Disable/Modify Tools)’, ‘T1218 (System Binary Proxy Execution)’]

IOC

[‘EDRGay.exe’, ‘DriverGay.sys’, ‘BdApiUtil.sys’, ‘\\.\BdApiUtil’, ‘IOCTL 0x800024b4’, ‘.dlock’, ‘READ ME.hex_identifier.txt’, ‘ProgramData’, ‘Videos’, ‘fDenyTSConnections=0’, ‘TCP/3389’, ‘RemoteRegistry service started’]

🔗 Source originale : https://blog.talosintelligence.com/byovd-loader-deadlock-ransomware/