해커는 예상하지 못한 공격 방법을 찾았습니다.

보안 결함으로 인해 랜섬웨어 바이러스 백신 프로그램이 시스템에서 제대로 실행되는 것을 효과적으로 방지합니다.

처럼 블리핑 컴퓨터에서 보고한, BlackByte 랜섬웨어 그룹은 RTCore64.sys 드라이버와 관련하여 새로 발견된 방법을 활용하여 1,000개 이상의 합법적인 드라이버를 우회합니다.

코드를 사용하여 시스템에 침입하는 해커의 묘사.
게티 이미지

따라서 이러한 드라이버에 의존하는 보안 프로그램은 침입을 감지할 수 없으며, 연구원들은 이 기술 자체를 "Bring Your Own Driver"라고 명명했습니다.

관련된

  • 해커는 랜섬웨어 지불을 강제하는 새로운 방법을 가지고 있습니다.
  • 해커는 장치를 감염시키기 위해 교활한 새 트릭을 사용하고 있습니다.
  • 아니요, 1Password는 해킹되지 않았습니다. 실제로 일어난 일은 다음과 같습니다.

해커가 드라이버를 끄면 여러 EDR(Endpoint Detection and Response)이 없기 때문에 레이더에서 작동할 수 있습니다. 취약한 드라이버는 유효한 인증서를 통해 검사를 통과할 수 있으며 PC 자체에 대한 높은 권한도 가지고 있습니다.

추천 동영상

사이버 보안 회사 Sophos의 연구원 세부 사항 랜섬웨어 집단의 표적이 된 MSI 그래픽 드라이버가 사용자 모드 프로세스를 통해 액세스할 수 있는 I/O 제어 코드를 제공하는 방법. 그러나 이 요소는 커널 메모리 액세스에 대한 Microsoft의 보안 지침을 위반합니다.

익스플로잇으로 인해 공격자는 시스템의 커널 메모리 내에서 코드를 자유롭게 읽고 쓰거나 실행할 수 있습니다.

BlackByte는 연구원인 Sophos가 해킹을 분석하지 않도록 탐지되는 것을 피하려고 합니다. 진술 — 회사는 시스템에서 실행 중인 디버거를 찾은 다음 종료하는 공격자를 지적했습니다.

또한 이 그룹의 맬웨어는 시스템에서 Avast, Sandboxie, Windows DbgHelp Library 및 Comodo Internet Security에 연결된 잠재적 후킹 DLL을 검색합니다. 검색에서 찾은 것이 있으면 BlackByte는 기능을 비활성화합니다.

위협 행위자가 사용하는 기술의 정교한 특성 때문에 Sophos는 그들이 보안 제품을 우회하기 위해 합법적인 드라이버를 계속 악용할 것이라고 경고했습니다. 앞서 북한의 해킹그룹 라자루스(Lazarus)가 델 하드웨어 드라이버를 이용한 'Bring Your Own Driver' 방식을 사용한 것으로 드러났다.

Bleeping Computer는 시스템 관리자가 대상이 되는 MSI 드라이버(RTCore64.sys)를 활성 차단 목록에 넣어 PC를 보호할 수 있는 방법을 강조합니다.

BlackByte의 랜섬웨어 노력은 2021년 FBI가 해킹 그룹이 정부에 대한 특정 사이버 공격의 배후에 있다고 강조하면서 처음으로 밝혀졌습니다.

편집자 추천

  • 랜섬웨어 공격이 엄청나게 급증했습니다. 안전을 유지하는 방법은 다음과 같습니다.
  • 해커가 다른 암호 관리자에게 마스터 키를 훔쳤을 수 있습니다.
  • Microsoft는 바이러스로부터 안전하게 보호할 수 있는 새로운 방법을 제공했습니다.
  • 이 주요 Apple 버그로 인해 해커가 사진을 훔치고 장치를 지울 수 있습니다.
  • 해커는 랜섬웨어 공격에서 Discord 계정을 훔쳐 새로운 최저점으로 가라앉습니다.

라이프스타일을 업그레이드하세요Digital Trends는 모든 최신 뉴스, 재미있는 제품 리뷰, 통찰력 있는 사설 및 독특한 미리보기를 통해 독자가 빠르게 변화하는 기술 세계를 파악할 수 있도록 도와줍니다.