Поделиться
Антивирусы бесполезны? Хакеры научились отключать их у россиян и после взлома уходить незамеченными
Выявлена новая группа хакеров – она атакует российские компании, предварительно отключая их защиту, в том числе и антивирусы, включая отечественные. Число таких атак растет.
Антивирус не помеха
Российская ИБ-компания ГК «Солар» сообщила CNews об обнаружении новой хакерской группировки NGC4020, которая научилась фактически отключать защитное ПО при атаках на российские компании. Это касается, в числе прочего и антивирусов, даже отечественных – в распоряжении хакеров есть инструментарий, позволяющий отключать защитные решения любых разработчиков.
Деятельность группы выявили эксперты центра исследования киберугроз Solar 4RAYS, входящего в ГК «Солар». В качестве примера реальной ситуации они привели взлом неназванной промышленной компании. После атаки специалисты провели расследование и нашли в каталоге файлов вредоносное ПО, которое хакеры даже не скрывали. Оно находилось на виду – в папке по пути C:\ProgramData\programs\scvrc.exe.
Для установления причин появления вредоносной программы эксперты Solar 4RAYS провели анализ системы и выявили, что сама утилита была внедрена в систему более 30 дней назад.
Проблема длиною в годы
Расследование показало, что вредоносный файл был внедрен, когда хакеры проникли в сеть компании при помощи уязвимости в программном обеспечении DameWare Mini Remote Control. Это софт для удаленного управления компьютерами. Уязвимость дала хакерам возможность загрузить в ядро вредоносный драйвер для обхода средств защиты и вывода из строя компонентов самозащиты антивирусного решения.
Эксперты установили, что задействованная хакерами дыра присутствовала еще со времен пандемии коронавируса COVID-19, которая накрыла мир в 2020 г. «Оказалось, что со времен пандемии для отдельных систем в инфраструктуре порт DameWare так и остался доступен из внешней сети», – сообщили CNews представители ГК «Солар».
Проникнув с сеть компании, хакеры не только разместили вредоносное ПО, но и попутно отключили антивирус «Лаборатории Касперского». Повторить эту операцию хакерам удастся лишь в том случае, если компания, которую они атакуют, не обновляет свое защитное ПО – «Лаборатория Касперского» уже выпустила апдейт для улучшения механизмов самозащиты своих продуктов.
Как все работает
Загруженное на ПК компании вредоносное ПО, помимо прочего, отключает технологию MiniFilter для фильтрации файловой системы, используемой в ОС Windows. Эту технологию часто эксплуатируют программные решения для кибербезопасности.
Они используют ее для отслеживания необычного поведения в системе. Также при помощи MiniFilter защитные решения собирают логи обо всех операциях в файловой системе. Также MiniFilter используется и для защиты непосредственно самих защитных решений от атак хакеров.
Внедренный хакерами драйвер генерирует на ПК собственный MiniFilter. Затем он «находит смещение callback-функции MiniFilter защитного решения и заменяет их фиктивной функцией-заглушкой», сообщили CNews в ГК «Солар». За счет этого они лишают установленный антивирус возможности отслеживать происходящее на компьютере.
Это открывает хакерам полный доступ к ПК жертвы. Они могут, не боясь обнаружения, запускать в системе любой вредоносный код
История повторяется
Схема взлома с отключением антивирусов, используемая NGC4020, концептуально не является чем-то новым невиданным, подчеркнули в ГК «Солар». Эксперты Solar 4RAYS уже сталкивались с подобным – другие хакеры проделали этот трюк при помощи эксплуатации сбоя при взаимодействии Windows с цифровыми подписями драйверов.
«В последнее время атакующие все чаще применяют инструменты, позволяющие отключать и обходить средства защиты, поставляемые различными вендорами. Подходы и техническая реализация уклонения и деактивации защитных решений отличаются лишь деталями, например, именами файлов их компонентов», – сказал CNews эксперт центра исследования киберугроз Solar 4RAYS ГК «Солар» Дмитрий Маричев.
«Особая опасность заключается в том, что технику теперь активно применяют проукраинские группировки, которые нацелены на уничтожение российской инфраструктуры, а не на «тихий» шпионаж, как атакующие из Азиатского региона», – добавил Дмитрий Маричев.
Поделиться
Короткая ссылка
