Атака на систему безопасности Windows может вывести из строя антивирус

Хакеры нашли способ отключить некоторые антивирусные программы на устройствах Windows, что позволяет им развертывать все виды вредоносных программ на целевых устройствах.

Атака на систему безопасности Windows может вывести из строя антивирус. Фото: СС0

Исследователи кибербезопасности AhnLab Security наблюдали две такие атаки в прошлом году, когда злоумышленники обнаружили две неисправленные уязвимости в Sunlogin, программном обеспечении удаленного управления, созданном китайской компанией, и использовали их для развертывания обфусцированного сценария PowerShell, который отключает любые продукты безопасности, которые могут быть установлены у жертв.

Уязвимости получили коды CNVD-2022-10270 и CNVD-2022-03672. Обе ошибки удаленного выполнения кода обнаружены в Sunlogin v11.0.0.33 и более ранних версиях.

Чтобы атаковать жертв, злоумышленники использовали уже опубликованные доказательства концепции. Развертываемый сценарий PowerShell декодирует переносимый исполняемый файл .NET — модифицированную программу с открытым исходным кодом Mhyprot2DrvControl, которая использует уязвимые драйверы Windows для получения привилегий на уровне ядра.

Этот конкретный инструмент злоупотребляет файлом mhyprot2.sys, античит-драйвером для Genshin Impact, ролевой игры.

Из сообщения исследователей:

«С помощью простого обходного процесса вредоносное ПО может получить доступ к области ядра через mhyprot2.sys. Разработчик Mhyprot2DrvControl предоставил несколько функций, которые можно использовать с повышением привилегий через mhyprot2.sys. Среди них злоумышленник использовал функцию, которая позволяет принудительно завершать процессы для разработки вредоносного ПО, которое отключает несколько антивирусных продуктов.»

После завершения процессов безопасности злоумышленники могут установить любое вредоносное ПО, какое им заблагорассудится. Иногда они просто открывали обратные оболочки, а иногда устанавливали Sliver, Gh0st RAT или майнер криптовалюты XMRig.

Этот метод известен как BYOVD или Bring Your Own Vulnerable Driver. Рекомендация Microsoft против атак такого типа заключается в том, чтобы включить уязвимые драйверы в черный список уязвимых драйверов.

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме