Хакеры нашли способ взломать вас, чего вы никак не ожидали

6 октября, 2022 Дядя Влад

Уязвимость в системе безопасности позволила банде программ- вымогателей эффективно препятствовать нормальной работе антивирусных программ в системе.

Как сообщает Bleeping Computer , группа вымогателей BlackByte использует недавно обнаруженный метод, связанный с драйвером RTCore64.sys, для обхода более 1000 законных драйверов.

Изображение хакера, взломавшего систему с помощью кода. — Гетти Изображений

Таким образом, программы безопасности, которые полагаются на такие драйверы, не могут обнаружить нарушение, а сам метод был помечен исследователями как «Принеси свой собственный драйвер».

После того, как хакеры отключили драйверы, они могут работать незаметно из-за отсутствия обнаружения и реагирования на множественные конечные точки (EDR). Уязвимые драйверы могут пройти проверку с помощью действительного сертификата, а также имеют высокие привилегии на самом ПК.

Исследователи из компании по кибербезопасности Sophos подробно описывают , как графический драйвер MSI, на который нацелена банда вымогателей, предлагает коды управления вводом-выводом, доступ к которым можно получить через процессы пользовательского режима. Однако этот элемент нарушает рекомендации Microsoft по безопасности доступа к памяти ядра.

Благодаря эксплойту злоумышленники могут свободно читать, писать или выполнять код в памяти ядра системы.

BlackByte, естественно, стремится избежать обнаружения, чтобы ее взломы не анализировались исследователями, заявила Sophos — компания указала на злоумышленников, которые ищут какие-либо отладчики, работающие в системе, а затем прекращают работу.

Кроме того, вредоносное ПО этой группы сканирует систему на наличие любых потенциально перехватывающих DLL, подключенных к Avast, Sandboxie, библиотеке Windows DbgHelp и Comodo Internet Security. Если какой-либо из них будет найден в результате поиска, BlackByte отключит его способность функционировать.

Sophos предупредила, что из-за сложного характера техники, используемой злоумышленниками, они будут продолжать использовать законные драйверы для обхода продуктов безопасности. Ранее северокорейская хакерская группа Lazarus использовала метод «Принеси свой собственный драйвер», в котором использовался драйвер оборудования Dell.

Bleeping Computer показывает, как системные администраторы могут защитить свои ПК, поместив целевой драйвер MSI (RTCore64.sys) в активный черный список.

Об усилиях BlackByte по вымогательству впервые стало известно в 2021 году, когда ФБР подчеркнуло, что хакерская группа стоит за некоторыми кибератаками на правительство.