Головна » Технології / Новини » Хакери використовують старий трюк, щоб обійти захист Windows

Хакери використовують стару вразливість у драйверах Intel, намагаючись отримати доступ до мереж таким чином, щоб обійти засоби захисту кібербезпеки.




Атаки були докладно описані дослідниками кібербезпеки з CrowdStrike. Вони припускають, що кампанія, орієнтована на системи Windows, є роботою групи кіберзлочинців, яку ідентифікують як Scattered Spider. Вона також відома як Roasted 0ktapus і UNC3944.

Як працюють хакери?

Scattered Spider – це фінансово мотивована кіберзлочинна операція, яка, за словами дослідників, виявляє особливий інтерес до телекомунікацій та секторів бізнес-аутсорсингу з метою отримання доступу до мереж мобільних операторів.

Вважається, що спочатку зловмисники одержують доступ до мереж, використовуючи SMS-фішингові атаки для крадіжки імен користувачів та паролів. У деяких випадках зловмисники використовували цей доступ для отримання доступу до додаткових облікових даних. Разом з тим, як вважається, група також займається схемами із заміною SIM-картки.

Опинившись усередині мережі, Scattered Spider використовує метод, що CrowdStrike описує як «Принеси свій вразливий драйвер» (BYOVD – The Bring Your Own Vulnerable Driver), який націлений на лазівки у безпеці Windows.

У той час, як Microsoft намагається обмежити можливості шкідливих програм, які отримують доступ до систем, типово забороняючи запуск непідписаних драйверів режиму ядра, зловмисники можуть обійти це за допомогою BYOVD, який дозволяє їм встановити законно підписаний, але шкідливий драйвер для проведення атак.

Законно підписані сертифікати можуть бути вкрадені, або зловмисники можуть знайти обхідні шляхи, що дозволяють їм самостійно підписувати власні сертифікати. Але незалежно від того, як вони їх отримують, хакери можуть таємно запускати і встановлювати свої власні драйвери в системах, щоб відключити продукти безпеки і приховати свою активність.

Один із способів, яким вони виконують цю операцію якомога потайливіше, полягає в тому, що вони не використовують шкідливе ПЗ. Натомість встановлюють ряд легітимних інструментів віддаленого доступу, щоб забезпечити сталість у скомпрометованій системі.

Аналіз кібердослідників

Згідно з аналізом Crowdstrike, зловмисники доставляють шкідливі драйвери ядра через вразливість у діагностичному драйвері Intel Ethernet для Windows (відстежується як CVE-2015-2291).

Судячи з ідентифікаційного номера, вразливість застаріла. Але хакери все ще можуть використовувати її в системах, коли не було застосовано оновлення безпеки, що закриває вразливість.

Інструменти, які намагалися обійти зловмисники, це: Microsoft Defender for Endpoint, Palo Alto Networks Cortex XDR і SentinelOne, а також власний продукт безпеки Falcon від CrowdStrike. Дослідники CrowdStrike кажуть, що Falcon виявив і запобіг шкідливій активності, коли зловмисники намагалися встановити та запустити свій власний код.

Microsoft раніше попереджала, що «зловмисники все частіше використовують законні драйвери в екосистемі та їх уразливості в системі безпеки для запуску шкідливих програм». Хоча компанія вживає заходів для запобігання зловживанням, метод атаки все ще працює.

Компанія Scattered Spider, мабуть, націлена на певний набір галузей. Але ІТ-фахівцям та спеціалістам з кібербезпеки у всіх галузях рекомендується забезпечити захист своїх мереж від атак.

Microsoft також надає рекомендації з правил блокування драйверів для підвищення надійності служб. Але компанія попереджає, що блокування драйверів може призвести до збоїв у роботі пристроїв або програмного забезпечення. А в окремих випадках до синього екрану. Блок-лист вразливих драйверів не гарантує блокування кожного драйвера, в якому виявлено вразливість.

Якщо Ви знайшли помилку, будь ласка, виділіть фрагмент тексту та натисніть Ctrl+Enter.
Поділитися:
Правила коментування

Вітаємо Вас на сайті Pingvin Pro. Ми докладаємо всіх зусиль, аби переконатися, що коментарі наших статей вільні від тролінгу, спаму та образ. Саме тому, на нашому сайті включена премодерація коментарів. Будь ласка, ознайомтеся з кількома правилами коментування.

  1. Перш за все, коментування відбувається через сторонній сервіс Disqus. Модератори сайту не несуть відповідальність за дії сервісу.
  2. На сайті ввімкнена премодерація. Тому ваш коментар може з’явитися не одразу. Нам теж інколи треба спати.
  3. Будьте ввічливими – ми не заохочуємо на сайті грубість та образи. Пам’ятайте, що слова мають вплив на людей! Саме тому, модератори сайту залишають за собою право не публікувати той чи інший коментар.
  4. Будь-які образи, відкриті чи завуальовані, у бік команди сайту, конкретного автора чи інших коментаторів, одразу видаляються. Агресивний коментатор може бути забанений без попереджень і пояснень з боку адміністрації сайту.
  5. Якщо вас забанили – на це були причини. Ми не пояснюємо причин ані тут, ані через інші канали зв’язку з редакторами сайту.
  6. Коментарі, які містять посилання на сторонні сайти чи ресурси можуть бути видалені без попереджень. Ми не рекламний майданчик для інших ресурсів.
  7. Якщо Ви виявили коментар, який порушує правила нашого сайту, обов’язково позначте його як спам – модератори цінують Вашу підтримку.

Схожі новини

Новини

У Windows 11, нарешті, зʼявився перший сторонній віджет

У Windows 11 нарешті зʼявився перший сторонній віджет. Принаймні у версії операційної системи Windows Insider. Microsoft випустила збірку Windows 11 версія 25284 для інсайдерів на каналі розробників. Це віджет для Facebook Messenger. Підписуйтесь на наш Telegram-канал Корпорація Майкрософт увімкнула підтримку сторонніх віджетів кілька місяців тому в попередній збірці ОС. Потім оновила Windows App SDK, щоб […]


Новини

Хакери використовують OneNote, щоб розповсюджувати шкідливе ПЗ

Хакери почали використовувати новий спосіб у вигляді вкладених файлів Microsoft OneNote, щоб розповсюджувати шкідливе ПЗ. Подвійне клацання по вкладенню автоматично запускає сценарій, у результаті якого зловмисне програмне забезпечення з віддаленого сайту завантажується та встановлюється на компʼютер. Підписуйтесь на наш Telegram-канал Програма OneNote залишається однією з важливих частин Microsoft 365. Компанія постійно впроваджує та тестує нові функції […]


Повідомити про помилку

Текст, який буде надіслано нашим редакторам: