Компьютерный доктор

30 янв

Антивирусы бесполезны? Хакеры научились отключать их у россиян

и после взлома уходить незамеченными

Выявлена новая группа хакеров – она атакует российские компании, предварительно отключая их защиту, в том числе и антивирусы, включая отечественные. Число таких атак растет.

Антивирус не помеха

Российская ИБ-компания ГК «Солар» сообщила CNews об обнаружении новой хакерской группировки NGC4020, которая научилась фактически отключать защитное ПО при атаках на российские компании. Это касается, в числе прочего и антивирусов, даже отечественных – в распоряжении хакеров есть инструментарий, позволяющий отключать защитные решения любых разработчиков.

Деятельность группы выявили эксперты центра исследования киберугроз Solar 4RAYS, входящего в ГК «Солар». В качестве примера реальной ситуации они привели взлом неназванной промышленной компании. После атаки специалисты провели расследование и нашли в каталоге файлов вредоносное ПО, которое хакеры даже не скрывали. Оно находилось на виду – в папке по пути C:\ProgramData\programs\scvrc.exe.

Для установления причин появления вредоносной программы эксперты Solar 4RAYS провели анализ системы и выявили, что сама утилита была внедрена в систему более 30 дней назад.

Проблема длиною в годы

Расследование показало, что вредоносный файл был внедрен, когда хакеры проникли в сеть компании при помощи уязвимости в программном обеспечении DameWare Mini Remote Control. Это софт для удаленного управления компьютерами. Уязвимость дала хакерам возможность загрузить в ядро вредоносный драйвер для обхода средств защиты и вывода из строя компонентов самозащиты антивирусного решения.
Методы взлома становятся все более изощренными
Методы взлома становятся все более изощренными
Эксперты установили, что задействованная хакерами дыра присутствовала еще со времен пандемии коронавируса COVID-19, которая накрыла мир в 2020 г. «Оказалось, что со времен пандемии для отдельных систем в инфраструктуре порт DameWare так и остался доступен из внешней сети», – сообщили CNews представители ГК «Солар».

Проникнув с сеть компании, хакеры не только разместили вредоносное ПО, но и попутно отключили антивирус «Лаборатории Касперского». Повторить эту операцию хакерам удастся лишь в том случае, если компания, которую они атакуют, не обновляет свое защитное ПО – «Лаборатория Касперского» уже выпустила апдейт для улучшения механизмов самозащиты своих продуктов.

Как все работает

Загруженное на ПК компании вредоносное ПО, помимо прочего, отключает технологию MiniFilter для фильтрации файловой системы, используемой в ОС Windows. Эту технологию часто эксплуатируют программные решения для кибербезопасности.

Они используют ее для отслеживания необычного поведения в системе. Также при помощи MiniFilter защитные решения собирают логи обо всех операциях в файловой системе. Также MiniFilter используется и для защиты непосредственно самих защитных решений от атак хакеров.

Внедренный хакерами драйвер генерирует на ПК собственный MiniFilter. Затем он «находит смещение callback-функции MiniFilter защитного решения и заменяет их фиктивной функцией-заглушкой», сообщили CNews в ГК «Солар». За счет этого они лишают установленный антивирус возможности отслеживать происходящее на компьютере.

Это открывает хакерам полный доступ к ПК жертвы. Они могут, не боясь обнаружения, запускать в системе любой вредоносный код.

История повторяется

Схема взлома с отключением антивирусов, используемая NGC4020, концептуально не является чем-то новым невиданным, подчеркнули в ГК «Солар». Эксперты Solar 4RAYS уже сталкивались с подобным – другие хакеры проделали этот трюк при помощи эксплуатации сбоя при взаимодействии Windows с цифровыми подписями драйверов.

«В последнее время атакующие все чаще применяют инструменты, позволяющие отключать и обходить средства защиты, поставляемые различными вендорами. Подходы и техническая реализация уклонения и деактивации защитных решений отличаются лишь деталями, например, именами файлов их компонентов», – сказал CNews эксперт центра исследования киберугроз Solar 4RAYS ГК «Солар» Дмитрий Маричев.

«Особая опасность заключается в том, что технику теперь активно применяют проукраинские группировки, которые нацелены на уничтожение российской инфраструктуры, а не на «тихий» шпионаж, как атакующие из Азиатского региона», – добавил Дмитрий Маричев.

Источник

Комментарии

  • 30 янв 19:05
    Хреново,Вова...так вот живешь и не знаешь...(H)(H)(H)
  • 30 янв 23:35
    Есть же люди которые этого хакера в два счёта за хобот поймает. Почему этим никто не занимается? Наверное так нужно? Вопрос: - кому? 🤔