Вредонос BlackByte отключает антивирусы с помощью легитимного драйвера MSI
Главная » Новости
Высокопроизводительные NGFW от ИнфоТеКСЭффективное решение для обеспечения безопасности вашей корпоративной сети. Реализован на доверенной аппаратной платформе и сертифицирован по требованиям российских регуляторов. Межсетевые экраны следующего поколения обеспечивает глубокую фильтрацию трафика, его контроль и блокировку на уровне приложений. Классический межсетевой экран и криптографический шлюз с ГОСТ VPN.→ Получить консультацию
Реклама, АО "Инфотекс", ИНН 7710013769, 16+

Вредонос BlackByte отключает антивирусы с помощью легитимного драйвера MSI

Екатерина Быстрова 06 Октября 2022 - 12:23
...
Вредонос BlackByte отключает антивирусы с помощью легитимного драйвера MSI

Операторы программы-вымогателя BlackByte тоже начали использовать концепцию Bring Your Own Vulnerable Driver (BYOVD) в атаках. С помощью уязвимого легитимного драйвера киберпреступники смогли отключать защитные средства на компьютерах жертв.

На этот раз злоумышленники взяли в оборот драйвер MSI Afterburner — RTCore64.sys., содержащий уязвимость под идентификатором CVE-2019-16098. Эксплуатация этой бреши открывает возможность для повышения привилегий и выполнения кода в системах.

В результате операторы BlackByte смогли отключать драйвера, необходимые для корректной работы антивирусных программ, EDR и других средств защиты конечных точек. Эффективность метода BYOVD заключается в использовании подписанных официальных драйверов, которые не вызывают подозрения у системы и антивирусных продуктов. Именно поэтому им удаётся работать с наиболее высокими правами в системе.

На новые атаки BlackByte указали специалисты компании Sophos. По их словам, использование графического драйвера MSI открыло прямой доступ к кодам ввода-вывода из процессов, работающих на уровне пользователя. Это, кстати, нарушает правила Microsoft в отношении доступа к памяти ядра.

Другими словами, атакующие могут читать, записывать и выполнять код на уровне ядра без использования шелл-кода или специального эксплойта. На первом этапе одной из таких атак операторы BlackByte идентифицируют версию ядра, чтобы выбрать корректные оффсеты, совпадающие с ID ядра.

 

Далее атакующие копируют RTCore64.sys в директорию AppData\Roaming и создают службу с именем, жёстко заданным в коде.

 

Следующим шагом в ход вступает эксплуатация уязвимости, после чего вредонос выбирает подходящий драйвер установленного антивируса (или EDR) из специального списка, насчитывающего 1000 таких драйверов.

 

Само собой, этот подход существенно затрудняет детектирование BlackByte. Шифровальщик также ищет DLL, за которыми стоят продукты Avast, Sandboxie, Windows DbgHelp Library и Comodo Internet Security. При обнаружении таких библиотек он завершает их выполнение.

Напомним, что на днях кибергруппировка Lazarus начала использовать дырявый драйвер Dell для установки Windows-руткита.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Windows 11 теперь поддерживает интеграцию с iPhone в меню Пуск
Екатерина Быстрова 30 Января 2025 - 11:29
WindowsiOS Домашние пользователи Microsoft
Windows 11 теперь поддерживает интеграцию с iPhone в меню Пуск

В блоге для участников программы Windows Insider Microsoft уточнила, что функция интеграции смартфона в меню «Пуск» Windows 11 теперь работает и с iPhone. Ранее её тестировали для устройств на Android, а поддержку «яблочного» смартфона обещали добавить позже.

Интеграция телефона в меню «Пуск» упрощает обмен файлами между десктопом и мобильным устройством. Кроме того, Microsoft раскрыла дополнительные возможности этой функции:

«Владельцы iPhone, подключенные к Windows 11, могут получать доступ к основным функциям своего устройства прямо из меню "Пуск". Эта бесшовная интеграция позволяет, как и в случае с Android, просматривать уровень заряда и статус подключения, управлять сообщениями и звонками, а также отслеживать последние действия. Все эти функции удобно встроены в интерфейс Windows».

Источник: 9to5Mac

 

Нововведение уже стало доступна участникам Windows Insider в каналах Dev и Beta. Для использования необходимо следующее:

  • Windows 11 Insider Preview: сборка 4805 и выше (Beta Channel) или 26120.3000 и выше (Dev Channel).
  • Phone Link версии 1.24121.30.0 или новее.
  • Активная учетная запись Microsoft и поддержка Bluetooth LE на десктопном компьютере.
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
В Биробиджане задержан серийный кибермошенник
Новость
В Биробиджане задержан серийный кибермошенник
ГК Солар включила двухфакторную аутентификацию в Solar SafeInspect
Новость
ГК Солар включила двухфакторную аутентификацию в Solar SafeI...
В России произошел сбой на сетях мобильных операторов
Новость
В России произошел сбой на сетях мобильных операторов

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.