Varnostna napaka je omogočila a izsiljevalska programska oprema skupina za učinkovito preprečevanje pravilnega delovanja protivirusnih programov v sistemu.
Kot poroča Bleeping Computer, skupina izsiljevalske programske opreme BlackByte uporablja na novo odkrito metodo, povezano z gonilnikom RTCore64.sys, da zaobide več kot 1000 zakonitih gonilnikov.
Varnostni programi, ki se zanašajo na takšne gonilnike, zato ne morejo zaznati kršitve, pri čemer so raziskovalci samo tehniko označili kot »Prinesite svojega gonilnika«.
Povezano
- Hekerji imajo nov način za izsiljevanje plačil z izsiljevalsko programsko opremo
- Hekerji uporabljajo zvit nov trik za okužbo vaših naprav
- Ne, v 1Password ni prišlo do vdora – tukaj se je res zgodilo
Ko hekerji izklopijo gonilnike, lahko delujejo pod radarjem zaradi pomanjkanja zaznavanja več končnih točk in odziva (EDR). Ranljivi gonilniki lahko opravijo pregled prek veljavnega certifikata in imajo tudi visoke privilegije na samem osebnem računalniku.
Priporočeni videoposnetki
Raziskovalci podjetja za kibernetsko varnost Sophos detajl kako grafični gonilnik MSI, ki je tarča združbe izsiljevalske programske opreme, ponuja kode za nadzor V/I, do katerih je mogoče dostopati prek procesov v uporabniškem načinu. Vendar ta element krši Microsoftove varnostne smernice za dostop do pomnilnika jedra.
Zaradi izkoriščanja lahko akterji groženj prosto berejo, pišejo ali izvajajo kodo v pomnilniku jedra sistema.
BlackByte se seveda želi izogniti odkritju, da njegovih vdorov ne bi analizirali raziskovalci, Sophos navedeno - podjetje je pokazalo proti napadalcem, ki iščejo morebitne razhroščevalnike, ki se izvajajo v sistemu, in nato zaprejo.
Poleg tega zlonamerna programska oprema skupine pregleduje sistem za vse morebitne zapeljive DLL-je, povezane z Avast, Sandboxie, Windows DbgHelp Library in Comodo Internet Security. Če ga iskanje najde, BlackByte onemogoči njegovo delovanje.
Zaradi sofisticirane narave tehnike, ki jo uporabljajo akterji groženj, je Sophos opozoril, da bodo še naprej izkoriščali zakonite gonilnike, da bi zaobšli varnostne izdelke. Prej je severnokorejska hekerska skupina Lazarus uporabljala metodo »Prinesi svoj gonilnik«, ki je vključevala gonilnik strojne opreme Dell.
Bleeping Computer poudarja, kako lahko sistemski skrbniki zaščitijo svoje osebne računalnike tako, da gonilnik MSI (RTCore64.sys), ki je cilj, uvrstijo na aktivni seznam blokiranih.
Prizadevanja družbe BlackByte za izsiljevalsko programsko opremo so prvič prišla v javnost leta 2021, pri čemer je FBI poudaril, da hekerska skupina stoji za nekaterimi kibernetskimi napadi na vlado.
Priporočila urednikov
- Napadi izsiljevalske programske opreme so se močno povečali. Tukaj je opisano, kako ostati varen
- Hekerji so morda ukradli glavni ključ drugega upravitelja gesel
- Microsoft vam je pravkar ponudil nov način za zaščito pred virusi
- Ta velika Applova napaka bi lahko hekerjem omogočila krajo vaših fotografij in brisanje vaše naprave
- Hekerji padejo na novo dno s krajo računov Discord v napadih z izsiljevalsko programsko opremo
Nadgradite svoj življenjski slogDigitalni trendi bralcem pomagajo slediti hitremu svetu tehnologije z vsemi najnovejšimi novicami, zabavnimi ocenami izdelkov, pronicljivimi uvodniki in enkratnimi vpogledi v vsebine.
