Хакеры начали отключать антивирус, чтобы скрыть кибератаку
Новую кибергруппировку, которая отключает защитные решения при атаках на компании, обнаружили в России. Этот тренд всё чаще встречается при расследовании инцидентов, сообщили «Известиям» эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар». В частности, при атаке на промышленную организацию злоумышленники использовали метод, который позволяет отключить решение любого вендора.
В ходе расследования выяснилось, что злоумышленники проникли в корпоративную сеть через уязвимость в ПО DameWare Mini Remote Control, которое используется для удаленного управления компьютером. Оказалось, что со времен пандемии для отдельных систем в инфраструктуре порт DameWare так и остался доступен из внешней сети.
Далее киберпреступники разместили вредоносный файл в директории агента администрирования антивирусного решения и отключили антивирус «Лаборатории Касперского». Эксперты Solar 4RAYS сообщили вендору об обнаруженной механике, в результате чего «Лаборатория Касперского» оперативно доработала механизмы самозащиты продуктов и выпустила соответствующие обновления.
Одной из функций вредоноса было отключение MiniFilter — технологии фильтрации файловой системы в Windows. Компоненты безопасности многих защитных решений используют MiniFilter для сбора информации об операциях в файловой системе, обнаружения необычного поведения, контроля за приложениями и анализа потенциальных угроз.
В ходе подобной атаки вредоносный драйвер создает и регистрирует собственный MiniFilter, находит смещение callback-функции MiniFilter защитного решения и заменяет их фиктивной функцией-заглушкой, таким образом блокируя антивирусу возможность мониторинга. После этого злоумышленники могут загружать любой вредоносный софт на систему, не боясь обнаружения базовыми средствами защиты.
Подробнее читайте в эксклюзивном материале «Известий»:
Беззащитные механизмы: хакеры нашли способ отключать антивирусы