Эта коварная вредоносная программа способна отключить ваш антивирус

Эта коварная вредоносная программа способна отключить ваш антивирус

7 октября 2022 г.

Злоумышленники нашли способ отключить антивирусные решения и другие endpoint средства защиты, использующие все более популярный метод.

Исследователи кибербезопасности из Sophos недавно подробно рассказали, как работает метод, известный как Bring Your Own Vulnerable Driver, и какие опасности он несет для бизнеса по всему миру.

Согласно данным компании исследование, операторы вымогателей BlackByte злоупотребляют уязвимостью, отслеживаемой как CVE-2019-16098. Он содержится в драйверах RTCore64.sys и RTCore32.sys, используемых MSI AfterBurner 4.6.2.15658 от Micro-Star. Afterburner — это утилита для разгона графических процессоров, которая дает пользователям больший контроль над оборудованием.

Блокировка драйверов

Эта уязвимость позволяет аутентифицированным пользователям читать и записывать в произвольную память, что приводит к повышению привилегий, выполнению кода и краже данных. В данном случае BlackByte помогла отключить более 1000 драйверов, необходимых для работы продуктов безопасности.

«Вероятно, они продолжат злоупотреблять законными драйверами для обхода продуктов безопасности», — говорится в запись в блоге с описанием угрозы.

Для защиты от этого нового метода атаки Sophos предлагает ИТ-администраторам добавить эти конкретные драйверы MSI. в активный черный список и убедитесь, что они не работают на своих конечных точках. Кроме того, им следует внимательно следить за всеми драйверами, устанавливаемыми на их устройства, и регулярно проверять конечные точки на наличие мошеннических инъекций без аппаратного соответствия.

Подробнее

> Установка игровых драйверов может сделать ваш компьютер уязвимым для кибератак

> Lazarus хакеры атакуют драйверы Dell с помощью нового руткита

> Защитите себя от угроз с помощью лучших решений для удаления вредоносных программ сильный>

Принести свой собственный уязвимый драйвер может быть новым методом, но его популярность быстро растет. Ранее на этой неделе печально известная спонсируемая государством северокорейская организация по угрозам Lazarus Group использовала ту же технику против Dell. Исследователи кибербезопасности из ESET недавно видели, как группа обращалась к экспертам по аэрокосмической отрасли и политическим журналистам в Европе с поддельными предложениями работы от Amazon. Они делились поддельными pdf-файлами с должностными инструкциями, которые по сути являются старыми уязвимыми драйверами Dell.

Что делает этот метод особенно опасным, так это тот факт, что эти драйверы не являются вредоносными сами по себе и поэтому не помечаются антивирусными решениями.

🔥 Популярное на этой неделе

⭐ Самое популярное

Categories


PREVIOUS ARTICLE
NEXT ARTICLE