Хакеры «научили» зловред отключать антивирусы

Злоумышленники нашли способ отключить антивирусные решения и другие средства защиты конечных точек.

Хакеры «научили» зловред отключать антивирусы. Фото: СС0

Исследователи кибербезопасности из Sophos рассказали, как работает метод, известный как Bring Your Own Vulnerable Driver, и какие опасности он несет для бизнеса по всему миру.

Согласно исследованию компании, операторы программ-вымогателей BlackByte используют уязвимость CVE-2019-16098. Она находится в RTCore64.sys и RTCore32.sys, драйверах, используемых MSI AfterBurner 4.6.2.15658 от Micro-Star. Afterburner — это утилита для разгона графических процессоров, которая дает пользователям больший контроль над оборудованием.

Уязвимость позволяет аутентифицированным пользователям записывать информацию в произвольную память, что приводит к повышению привилегий, выполнению кода и краже данных. BlackByte в этом случае помогла отключить более 1 тыс. драйверов, необходимых для запуска продуктов безопасности.

Из сообщения исследователей:

«Вероятность того, что преступники продолжат злоупотреблять официальными драйверами для обхода продуктов безопасности, велика».

Чтобы защититься от этого нового метода атаки, Sophos предлагает ИТ-администраторам добавить эти конкретные драйверы MSI в активный черный список и убедиться, что они не работают на их конечных устройствах. Кроме того, им следует внимательно следить за всеми драйверами, устанавливаемыми на их устройства, и регулярно проверять конечные точки на наличие мошеннических инъекций без аппаратного соответствия.

Метод Bring Your Own Vulnerable Driver может быть новым, но его популярность быстро растет. Ранее на этой неделе печально известная спонсируемая государством северокорейская организация по угрозам Lazarus Group использовала ту же технику против Dell. Исследователи кибербезопасности из ESET недавно наблюдали, как группа обращалась к экспертам по аэрокосмической отрасли и политическим журналистам в Европе с поддельными предложениями работы от Amazon. Они делились поддельными pdf-файлами с должностными инструкциями, которые по сути являются старыми уязвимыми драйверами Dell.

Что делает этот метод особенно опасным, так это тот факт, что эти драйверы не являются вредоносными сами по себе и поэтому не помечаются антивирусными решениями.

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме