Byte/RE ИТ-издание

Новости

«Солар» о хакерских атаках с отключением антивируса

Безопасность
--> 30

Как сообщила ГК «Солар», эксперты центра исследования киберугроз Solar 4RAYS обнаружили новую кибергруппировку, которая отключает защитные решения при атаках на российские компании. Этот тренд, отмечают в Solar 4RAYS, все чаще встречается при расследовании инцидентов.  В частности, в одной из атак, по данным экспертов, злоумышленники использовали метод, который позволяет отключить решение любого вендора.

Вредоносный файл в системе заказчика из промышленной отрасли был обнаружен в рамках мониторинга центра противодействия кибератакам Solar JSOC. В ходе расследования выяснилось, что злоумышленники проникли в корпоративную сеть через уязвимость в ПО для удаленного управления компьютером DameWare Mini Remote Control. Оказалось, что со времен пандемии для отдельных систем в инфраструктуре порт DameWare остался доступен из внешней сети.  Далее киберпреступники разместили вредоносный файл в директории агента администрирования антивирусного решения и отключили антивирус «Лаборатории Касперского». Эксперты Solar 4RAYS сообщили вендору об обнаруженной механике, в результате чего «Лаборатория Касперского» оперативно доработала механизмы самозащиты продуктов и выпустила соответствующие обновления.

Одной из функций вредоносного ПО было отключение MiniFilter – технологии фильтрации файловой системы в Windows.  Компоненты безопасности многих защитных решений используют MiniFilter для сбора информации об операциях в файловой системе, обнаружения необычного поведения, контроля за приложениями и анализа потенциальных угроз. Эту технологию также используют для защиты самого ИБ-продукта от несанкционированного доступа и отключения злоумышленниками.

В ходе подобной атаки вредоносный драйвер создает и регистрирует собственный MiniFilter, находит смещение callback-функции MiniFilter защитного решения и заменяет их фиктивной функцией-заглушкой, таким образом блокируя антивирусу возможность мониторинга. После этого злоумышленники могут загружать любой вредоносный софт на систему, не боясь обнаружения базовыми средствами защиты.

Это не единственная техника отключения и блокировки защитного решения, отмечают в Solar 4RAYS.  Например, ранее в одной из атак злоумышленники вывели из строя ИТ-инфраструктуру российской промышленной компании, также предварительно отключив антивирус. Это удалось из-за изъяна при взаимодействии ОС Windows с цифровыми подписями драйверов.

Как комментируют в центре исследования киберугроз Solar 4RAYS ГК «Солар», в последнее время атакующие все чаще применяют инструменты, позволяющие отключать и обходить средства защиты. Подходы и техническая реализация уклонения и деактивации защитных решений отличаются лишь деталями, например, именами файлов компонентов. Особая опасность заключается в том, что технику теперь активно применяют группировки, нацеленные на уничтожение российской инфраструктуры, а не на «тихий» шпионаж. Чтобы вовремя пресечь атаку, эксперты рекомендуют регулярно проверять работоспособность установленных в инфраструктуре защитных решений и контролировать, идет ли с них телеметрия.

Вам также могут понравиться

Партнерство «Солар» и «Астра» в области кибербезопасности

Центр экспертизы для заказчиков «Гарда»

Мультиагентные Al-решения: соглашение Сбера и «Лаборатории Касперского»

Новая версия шлюза веб-безопасности «Солар»

Новая услуга UserGate – экспресс-аудит защищенности

Обновление ПО InfoWatch для защиты данных