Хакери використовують старий трюк, щоб обійти захист Windows

Хакери використовують стару вразливість у драйверах Intel, намагаючись отримати доступ до мереж таким чином, щоб обійти засоби захисту кібербезпеки.

Атаки були докладно описані дослідниками кібербезпеки з CrowdStrike. Вони припускають, що кампанія, орієнтована на системи Windows, є роботою групи кіберзлочинців, яку ідентифікують як Scattered Spider. Вона також відома як Roasted 0ktapus і UNC3944.

• Список найнебезпечніших людей для цифрового світу: ГРУ, Ілон Маск та хакери
• Кількість DDoS-атак на російський бізнес може збільшитися на 300%
• Intel повернула підтримку для ринку росії?!

Як працюють хакери?

Scattered Spider – це фінансово мотивована кіберзлочинна операція, яка, за словами дослідників, виявляє особливий інтерес до телекомунікацій та секторів бізнес-аутсорсингу з метою отримання доступу до мереж мобільних операторів.

Вважається, що спочатку зловмисники одержують доступ до мереж, використовуючи SMS-фішингові атаки для крадіжки імен користувачів та паролів. У деяких випадках зловмисники використовували цей доступ для отримання доступу до додаткових облікових даних. Разом з тим, як вважається, група також займається схемами із заміною SIM-картки.

Опинившись усередині мережі, Scattered Spider використовує метод, що CrowdStrike описує як «Принеси свій вразливий драйвер» (BYOVD – The Bring Your Own Vulnerable Driver), який націлений на лазівки у безпеці Windows.

У той час, як Microsoft намагається обмежити можливості шкідливих програм, які отримують доступ до систем, типово забороняючи запуск непідписаних драйверів режиму ядра, зловмисники можуть обійти це за допомогою BYOVD, який дозволяє їм встановити законно підписаний, але шкідливий драйвер для проведення атак.

Законно підписані сертифікати можуть бути вкрадені, або зловмисники можуть знайти обхідні шляхи, що дозволяють їм самостійно підписувати власні сертифікати. Але незалежно від того, як вони їх отримують, хакери можуть таємно запускати і встановлювати свої власні драйвери в системах, щоб відключити продукти безпеки і приховати свою активність.

Один із способів, яким вони виконують цю операцію якомога потайливіше, полягає в тому, що вони не використовують шкідливе ПЗ. Натомість встановлюють ряд легітимних інструментів віддаленого доступу, щоб забезпечити сталість у скомпрометованій системі.

Аналіз кібердослідників

Згідно з аналізом Crowdstrike, зловмисники доставляють шкідливі драйвери ядра через вразливість у діагностичному драйвері Intel Ethernet для Windows (відстежується як CVE-2015-2291).

Судячи з ідентифікаційного номера, вразливість застаріла. Але хакери все ще можуть використовувати її в системах, коли не було застосовано оновлення безпеки, що закриває вразливість.

Інструменти, які намагалися обійти зловмисники, це: Microsoft Defender for Endpoint, Palo Alto Networks Cortex XDR і SentinelOne, а також власний продукт безпеки Falcon від CrowdStrike. Дослідники CrowdStrike кажуть, що Falcon виявив і запобіг шкідливій активності, коли зловмисники намагалися встановити та запустити свій власний код.

Microsoft раніше попереджала, що «зловмисники все частіше використовують законні драйвери в екосистемі та їх уразливості в системі безпеки для запуску шкідливих програм». Хоча компанія вживає заходів для запобігання зловживанням, метод атаки все ще працює.

Компанія Scattered Spider, мабуть, націлена на певний набір галузей. Але ІТ-фахівцям та спеціалістам з кібербезпеки у всіх галузях рекомендується забезпечити захист своїх мереж від атак.

Microsoft також надає рекомендації з правил блокування драйверів для підвищення надійності служб. Але компанія попереджає, що блокування драйверів може призвести до збоїв у роботі пристроїв або програмного забезпечення. А в окремих випадках до синього екрану. Блок-лист вразливих драйверів не гарантує блокування кожного драйвера, в якому виявлено вразливість.