Размер шрифта:
Межбуквенный интервал:
Изображения:
Отключить версию для слабовидящих close
«Солар»: хакеры отключают антивирус, чтобы скрыть кибератаку
#хакеры
«Солар»: хакеры отключают антивирус, чтобы скрыть кибератаку

Эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар» обнаружили новую кибергруппировку, которая отключает защитные решения при атаках на российские компании. Этот тренд все чаще встречается при расследовании инцидентов, отмечают в Solar 4RAYS. В частности, в атаке на промышленную организацию злоумышленники использовали метод, который позволяет отключить решение любого вендора.

Вредоносный файл в системе заказчика из промышленной отрасли был обнаружен в рамках мониторинга центра противодействия кибератакам Solar JSOC. В ходе расследования выяснилось, что злоумышленники проникли в корпоративную сеть через уязвимость в ПО «DameWare Mini Remote Control», которое используется для удаленного управления компьютером. Оказалось, что со времен пандемии для отдельных систем в инфраструктуре порт DameWare так и остался доступен из внешней сети. Далее киберпреступники разместили вредоносный файл в директории агента администрирования антивирусного решения и в данной атаке отключили антивирус «Лаборатории Касперского». Эксперты Solar 4RAYS сообщили вендору об обнаруженной механике, в результате чего «Лаборатория Касперского» оперативно доработала механизмы самозащиты продуктов и выпустила соответствующие обновления.

Одной из функций вредоноса было отключение MiniFilter – технологии фильтрации файловой системы в Windows. Компоненты безопасности многих защитных решений используют MiniFilter для сбора информации об операциях в файловой системе, обнаружения необычного поведения, контроля за приложениями и анализа потенциальных угроз. Эту технологию также используют для защиты самого ИБ-продукта от несанкционированного доступа и отключения злоумышленниками.

В ходе подобной атаки вредоносный драйвер создает и регистрирует собственный MiniFilter, находит смещение callback-функции MiniFilter защитного решения и заменяет их фиктивной функцией-заглушкой, таким образом блокируя антивирусу возможность мониторинга. После этого злоумышленники могут загружать любой вредоносный софт на систему, не боясь обнаружение базовыми средствами защиты.