Эта атака на систему безопасности Windows может вывести из строя ваш антивирус
вычисления techradar.com Новости

Эта атака на систему безопасности Windows может вывести из строя ваш антивирус

7 февраля 2023 г.

Хакеры нашли способ отключить определенные антивирусные программы на устройствах Windows, что позволяет им для развертывания всех видов вредоносных программ на целевых устройствах.

Исследователи кибербезопасности AhnLab Security наблюдали две такие атаки в прошлом году, когда злоумышленники обнаружили две незакрытые уязвимости в Sunlogin, программном обеспечении для удаленного управления, созданном китайской компанией. и использовал их для развертывания запутанного сценария PowerShell, который отключает любые продукты безопасности, которые могли быть установлены жертвами.

Злоупотребляемые уязвимости отслеживаются как CNVD-2022-10270 и CNVD-2022-03672. Обе ошибки удаленного выполнения кода обнаружены в Sunlogin версии 11.0.0.33 и более ранних.

Злоупотребление античитерским драйвером

Чтобы злоупотребить недостатками, злоумышленники использовали уже опубликованные доказательства концепции. Развертываемый сценарий PowerShell декодирует переносимый исполняемый файл .NET — модифицированную программу с открытым исходным кодом Mhyprot2DrvControl, которая использует уязвимые драйверы Windows для получения привилегий на уровне ядра.

Этот конкретный инструмент злоупотребляет файлом mhyprot2.sys, анти- чит-драйвер для Genshin Impact, ролевой игры в жанре экшн.

"Простым обходным путем вредоносная программа может получить доступ к области ядра через mhyprot2.sys", – заявили исследователи.

Подробнее

> Собственная ошибка Microsoft могла поставить пользователей в риск атак вредоносного ПО

> Установка игровых драйверов может сделать ваш компьютер уязвимым для кибератак

> Вот наши Получите лучшую защиту конечных точек прямо сейчас

"Разработчик Mhyprot2DrvControl предоставил несколько функций, которые можно использовать с повышением привилегий через mhyprot2.sys. Среди них злоумышленник использовал функцию, которая позволяет принудительно завершать процессы для разработки вредоносного ПО, отключающего несколько анти- вредоносные продукты."

После завершения процессов безопасности злоумышленники могут установить любое вредоносное ПО, какое им заблагорассудится. Иногда они просто открывали обратные оболочки, а иногда устанавливали Sliver, Gh0st RAT или майнер криптовалюты XMRig.

Этот метод известен как BYOVD или «Принеси свой собственный уязвимый драйвер». Рекомендация Майкрософт против атак такого типа – включить черный список уязвимых драйверов, чтобы система не могла устанавливать или запускать драйверы, о которых известно, что они уязвимы.

.

Через: BleepingComputer

Оригинал

Recent Post

Categories

PREVIOUS ARTICLE
NEXT ARTICLE