En sikkerhedsfejl har tilladt en ransomware bande for effektivt at forhindre antivirusprogrammer i at køre korrekt på et system.
Som rapporteret af Bleeping Computer, BlackByte ransomware-gruppen bruger en nyopdaget metode relateret til RTCore64.sys-driveren til at omgå mere end 1.000 legitime drivere.
Sikkerhedsprogrammer, der er afhængige af sådanne drivere, er derfor ikke i stand til at opdage et brud, og selve teknikken bliver mærket som "Bring Your Own Driver" af forskere.
Relaterede
- Hackere har en ny måde at fremtvinge ransomware-betalinger på
- Hackere bruger et snedigt nyt trick til at inficere dine enheder
- Nej, 1Password blev ikke hacket - her er hvad der virkelig skete
Når først driverne er blevet slukket af hackerne, kan de operere under radaren på grund af manglen på multiple endpoint detection and response (EDR). De sårbare chauffører kan bestå en inspektion via et gyldigt certifikat, og de har også høje rettigheder på selve pc'en.
Anbefalede videoer
Forskere fra cybersikkerhedsvirksomheden Sophos
detalje hvordan MSI-grafikdriveren, der er målrettet af ransomware-banden, tilbyder I/O-kontrolkoder, der kan tilgås gennem processer i brugertilstand. Dette element bryder dog Microsofts sikkerhedsretningslinjer for adgang til kernehukommelse.På grund af udnyttelsen kan trusselsaktører frit læse, skrive eller udføre kode i et systems kernehukommelse.
BlackByte er naturligvis opsat på at undgå at blive opdaget for ikke at få sine hacks analyseret af forskere, Sophos udtalte - virksomheden pegede på angribere, der ledte efter eventuelle debuggere, der kører på systemet og derefter afslutte.
Desuden scanner gruppens malware systemet for potentielle hooking-DLL'er forbundet til Avast, Sandboxie, Windows DbgHelp Library og Comodo Internet Security. Skulle nogen blive fundet ved søgningen, deaktiverer BlackByte dens funktionsevne.
På grund af den sofistikerede teknik, der blev brugt af trusselsaktørerne, advarede Sophos om, at de vil fortsætte med at udnytte legitime chauffører for at omgå sikkerhedsprodukter. Tidligere blev "Bring Your Own Driver"-metoden set brugt af den nordkoreanske hackergruppe Lazarus, som involverede en Dell-hardwaredriver.
Bleeping Computer fremhæver, hvordan systemadministratorer kan beskytte deres pc'er ved at sætte MSI-driveren (RTCore64.sys), der er målrettet mod, på en aktiv blokeringsliste.
BlackBytes ransomware-indsats kom først frem i 2021, hvor FBI understregede, at hackergruppen stod bag visse cyberangreb på regeringen.
Redaktørens anbefalinger
- Ransomware-angreb er steget massivt. Sådan forbliver du sikker
- Hackere kan have stjålet hovednøglen til en anden adgangskodeadministrator
- Microsoft har lige givet dig en ny måde at beskytte dig mod virus
- Denne store Apple-fejl kan lade hackere stjæle dine billeder og tørre din enhed
- Hackere synker til et nyt lavpunkt ved at stjæle Discord-konti i ransomware-angreb
Opgrader din livsstilDigital Trends hjælper læserne med at holde styr på den hurtige teknologiske verden med alle de seneste nyheder, sjove produktanmeldelser, indsigtsfulde redaktionelle artikler og enestående smugkig.
