Новости Хакеры использовали подписанные Microsoft драйверы для рассылки вирусов

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.044
Репутация
11.695
Реакции
61.865
RUB
50
Специалисты по безопасности из компаний Mandiant, Sophos и SentinelOne зафиксировали кибератаки с использованием вредоносных драйверов устройств для , подписанных Microsoft.

Антивирусным ПО такие драйверы воспринимаются как заведомо безопасные, что позволяет внедрять на целевые машины вредоносы и устанавливать едва ли не полный контроль над системой, не вызывая при этом каких-либо подозрений.

Представители ИБ-компаний уведомили корпорацию о проблеме в октябре 2022 г. По итогам расследования, проведенного , выяснилось, что с нескольких аккаунтов разработчиков в Microsoft Partner Center злоумышленники направляли запросы на получение подписи для собственных драйверов, содержащих вредоносный код. Соответствующие учетные записи были заблокированы.



Злоумышленники вновь атакуют Windows-системы с помощью подписанных Microsoft вредоносных драйверов
В 2021 г. Исследователи из компании обнаружили подписанный Microsoft драйвер под названием . В действительности он оказался ни чем иным, как руткитом, который передавал на содержимое каналов коммуникаций.

Новый инструментарий для вывода из строя средств безопасности​

Исследователи обнаружили новый хакерский инструментарий, состоящий из двух компонентов: загрузчика (STONESTOP) и драйвера режима ядра (POORTRY). Тулкит применяется для осуществления атаки типа BYOVD (Bring Your Own Vulnerable Driver), то есть за счет эксплуатации известных , как правило, в легитимном подписанном драйвере.

STONESTOP представляет собой приложение, выполняемое в пространстве пользователя, которое предназначено для поиска и принудительного завершения процессов, связанных с ПО для защиты системы. Другая известная ИБ-специалистам модификация наделена функциональностью перезаписи и удаления файлов.

и подобное ПО защищено от попыток воздействия на него со стороны приложениями, запущенными в пространстве пользователя. Поэтому STONESTOP пытается загрузить POORTRY (драйвер режима ядра, подписанный Microsoft), который имеет достаточно полномочий для того, чтобы «убить» создающие для оператора помехи процессы или службы. Таким образом, STONESTOP не только выступает в роли загрузчика вредоносного драйвера, но и управляет его поведением.

Впрочем, как выяснил специалист компании Ор Яир (Or Yair), повлиять на поведение некоторых популярных антивирусов можно и без внедрения в Windows вредоносных драйверов. Ранее CNews о том, что ИБ-решения способны по воле злоумышленника удалять любые, в том числе и системные, файлы.

 
Сверху Снизу