Общеизвестно, что злоумышленники активно используют уязвимости ПО для осуществления кибератак. Однако и вредоносные программы тоже могут содержать уязвимости, которые нередко оказываются весьма полезны для обеспечения кибербезопасности. Именно поиску таких уязвимостей посвящен проект Malvuln. Его исследователь, использующий ник hyp3rlinx сообщил на днях о любопытной находке. Он обнаружил уязвимость, присутствующую во многих зловредах-шифровальщиках – от «ветеранов» Conti и REvil до сравнительно новых и весьма активных Black Basta, LockBit, и AvosLocker.

Все эти вредоносные программы оказались уязвимы к так называемому перехвату DLL. Этот метод действует только на Windows-системах и обычно используется самими хакерами для внедрения вредоносного кода в легитимные приложения. Суть его состоит в том, что приложения осуществляют поиск и загрузку необходимых им для работы DLL-файлов. При этом при недостаточной проверке приложения могут загружать файлы за пределами своего каталога, что влечет за собой повышение привилегий или исполнение вредоносного кода.

Ровно такую атаку, как установил hyp3rlinx, можно осуществить и на сами шифровальщики. Для этого необходимо скомпилировать код эксплойта в DLL-файл с определенным именем, который распознается зловредом-шифровальщиком как собственный. В этом случае программа загружает файл и блокирует процесс шифрования данных прежде, чем он начнется.

Важно отметить, что шифровальщики как правило отключают защитные решения на устройствах жертв на первой стадии атаки. Однако в данном случае они не могут избежать угрозы: DLL-файл никак не проявляет себя до момента загрузки. Впрочем, полагаться на этот метод как на надежную защиту от атак шифровальщиков вряд ли стоит. Во-первых, создатели вредоносных программ наверняка постараются как можно скорее исправить уязвимость. А во-вторых большинство кибервымогательских групп сегодня не только зашифровывает файлы жертв, но и похищает их перед зашифровкой, а с этой угрозой метод, предложенный hyp3rlinx, ничего поделать не может.