Киберпрестъпници са намерили иновативен начин за доставяне на рансъмуер към компютри с Windows, информира в края на миналата седмица британската компания за информационна сигурност и защита Sophos.

Става дума за престъпниците, разпространяващи сравнително известна рансъмуер заплаха с името RobbinHood. Самата атака е достатъчно сложна, но заради това пък носи пълен успех на разпространителите ѝ и може да се превърне в потенциален вектор за атака и от други престъпни групи.

Преди две години, независим изследовател открива сериозна уязвимост в хардуерен драйвер, идващ от тайванската компания GIGABYTE. Той ги информира за проблема, но той е пренебрегнат от компанията като маловажен, което вероятно и го провокира да публикува PoC (proof-of-concept) код, с който доказва наличието на слабостта и нейната критичност. По-късно обаче, GIGABYTE признава сериозността на проблема и пенсионира въпросния код, но той продължава да съществува и да е заплаха. В настоящата атака, престъпниците използват този цифрово подписан и легитимен (но уязвим) драйвер, за да инсталират в системата втори, неподписан драйвер. С негова помощ, авторите на RobbinHood успяват да деактивират и изтрият от системата съществуващия на нея защитен софтуер, след което необезпокоявано да доставят и криптовируса.

„Това е първия път, в който наблюдаваме рансъмуер да доставя доверен, подписан (макар и уязвим) драйвер, идващ от външна за системата страна, за да промени ядрото на Windows от средата на паметта, да зареди свой собствен неподписан зловреден драйвер и да премахне защитните приложения, действайки от пространството на ядрото“, пишат от Sophos.

Специалистите от компанията обясняват, че 64-битовите Windows инсталации имат вграден защитен механизъм, който задължава зарежданите в системата драйвери да бъдат подписани, както от производителя, така и от Microsoft (driver signature enforcement).

Хакерите успяват да преодолеят тези защитни механизми посредством уязвимостта в GDRV.SYS, споменатият проблемен драйвер на GIGABYTE. Той съдържа уязвимост, която ако бъде успешно експлоатирана води до неразрешено повишение на привилегиите, като позволява четенето и писането на произволен сектор от паметта. Експлоатирайки тази уязвимост, те успяват временно да забранят наложените рестрикции за зареждането на неподписани драйвери в Windows, манипулирайки паметта на ядрото. Деактивирането на вградения защитен механизъм позволява на хакерите да заредят своя неподписан драйвер. И поради факта, че повечето процеси на защитните продукти днес действат от средата на потребителското пространство, зловредния код, действащ от пространството на ядрото не е засичан, а широките му привилегии способстват за деактивиране на въпросните продукти и услуги, а оттам и необезпокояваното инсталиране на криптовируса.

От Sophos обобщават, че в случая, даже напълно обновени компютри могат да паднат жертва на тази атака. Въпреки това, те напомнят, че потребителите е нужно да спазва най-добрите съвети по отношение на сигурността и да инсталират модерно решение за сигурност, което използва различни методи и технологии за регистриране и справяне със заплахите. Използването на двуфакторна защита на регистрациите и достъп до отдалечени мрежови услуги, ограничаване на правата за достъп, честото създаване на архиви на важните данни и изключването на RDP услугите, ако не са нужни, са сред другите полезни практики, които, както крайни потребители, така и администриращите фирмени мрежи е нужно да направят. По отношение на компаниите, то продължаващото обучение и информираност на персонала за заплахите днес и начините им за противодействие си остава все така валидно.

ДОБАВИ КОМЕНТАР

  Абонирай се  
Извести ме за