Эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар» обнаружили новую кибергруппировку, которая отключает защитные решения при атаках на российские компании. Этот тренд все чаще встречается при расследовании инцидентов, отмечают в Solar 4RAYS. В частности, в атаке на промышленную организацию злоумышленники использовали метод, который позволяет отключить решение любого вендора.
Вредоносный файл в системе заказчика из промышленной отрасли был обнаружен в рамках мониторинга центра противодействия кибератакам Solar JSOC. В ходе расследования выяснилось, что злоумышленники проникли в корпоративную сеть через уязвимость в ПО «DameWare Mini Remote Control», которое используется для удаленного управления компьютером. Оказалось, что со времен пандемии для отдельных систем в инфраструктуре порт DameWare так и остался доступен из внешней сети. Далее киберпреступники разместили вредоносный файл в директории агента администрирования антивирусного решения и в данной атаке отключили антивирус «Лаборатории Касперского». Эксперты Solar 4RAYS сообщили вендору об обнаруженной механике, в результате чего «Лаборатория Касперского» оперативно доработала механизмы самозащиты продуктов и выпустила соответствующие обновления.
Одной из функций вредоноса было отключение MiniFilter – технологии фильтрации файловой системы в Windows. Компоненты безопасности многих защитных решений используют MiniFilter для сбора информации об операциях в файловой системе, обнаружения необычного поведения, контроля за приложениями и анализа потенциальных угроз. Эту технологию также используют для защиты самого ИБ-продукта от несанкционированного доступа и отключения злоумышленниками.
В ходе подобной атаки вредоносный драйвер создает и регистрирует собственный MiniFilter, находит смещение callback-функции MiniFilter защитного решения и заменяет их фиктивной функцией-заглушкой, таким образом блокируя антивирусу возможность мониторинга. После этого злоумышленники могут загружать любой вредоносный софт на систему, не боясь обнаружение базовыми средствами защиты.