Перейти к основному содержанию
Реклама
Прямой эфир
Общество
Россияне стали чаще избавляться от премиальных автомобилей
Общество
Синоптики спрогнозировали снег и гололедицу в Москве 3 февраля
Общество
Нашествие саранчи угрожает 21 региону России
Мир
Три человека погибли в результате взрыва кислородного баллона в Белоруссии
Общество
Срок продажи вторичного жилья вырос более чем на треть
Мир
Трамп заявил о запланированных контактах США с Россией и Украиной
Культура
В Лувре введут дополнительный билет для доступа к «Мона Лизе»
Мир
СМИ сообщили о госпитализации рэпера P. Diddy из тюрьмы
Мир
Трамп анонсировал обсуждение пошлин с руководством Мексики и Канады 3 февраля
Экономика
Власти не обсуждают льготную ипотеку за намерение завести детей
Мир
Генсек НАТО выразил беспокойство из-за смещения украинского фронта на запад
Мир
Президент Панамы заявил о выходе страны из инициативы «Один пояс — один путь»
Экономика
Рассрочка от 60 тыс. рублей будет учитываться в кредитной истории
Мир
В Британии заявили о готовности работать над новыми санкциями против РФ
Мир
Генсек ЛАГ назвал целью Израиля сделать сектор Газа непригодным для проживания
Мир
Трамп не намерен привлекать военных для разрешения ситуации с Панамским каналом
Происшествия
При падении БПЛА в Астраханской области произошло возгорание

Хакеры начали отключать антивирус, чтобы скрыть кибератаку

4485
EN
Фото: ИЗВЕСТИЯ/Анна Селина
Выделить главное
Вкл
Выкл

Новую кибергруппировку, которая отключает защитные решения при атаках на компании, обнаружили в России. Этот тренд всё чаще встречается при расследовании инцидентов, сообщили «Известиям» эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар». В частности, при атаке на промышленную организацию злоумышленники использовали метод, который позволяет отключить решение любого вендора.

В ходе расследования выяснилось, что злоумышленники проникли в корпоративную сеть через уязвимость в ПО DameWare Mini Remote Control, которое используется для удаленного управления компьютером. Оказалось, что со времен пандемии для отдельных систем в инфраструктуре порт DameWare так и остался доступен из внешней сети.

Далее киберпреступники разместили вредоносный файл в директории агента администрирования антивирусного решения и отключили антивирус «Лаборатории Касперского». Эксперты Solar 4RAYS сообщили вендору об обнаруженной механике, в результате чего «Лаборатория Касперского» оперативно доработала механизмы самозащиты продуктов и выпустила соответствующие обновления.

Одной из функций вредоноса было отключение MiniFilter — технологии фильтрации файловой системы в Windows. Компоненты безопасности многих защитных решений используют MiniFilter для сбора информации об операциях в файловой системе, обнаружения необычного поведения, контроля за приложениями и анализа потенциальных угроз.

В ходе подобной атаки вредоносный драйвер создает и регистрирует собственный MiniFilter, находит смещение callback-функции MiniFilter защитного решения и заменяет их фиктивной функцией-заглушкой, таким образом блокируя антивирусу возможность мониторинга. После этого злоумышленники могут загружать любой вредоносный софт на систему, не боясь обнаружения базовыми средствами защиты.

Подробнее читайте в эксклюзивном материале «Известий»:

Беззащитные механизмы: хакеры нашли способ отключать антивирусы

Читайте также
Прямой эфир
Следующая новость