Hoe hackers Windows-antivirus gebruiken om uw computer te kapen

Hackers zijn voortdurend op zoek naar nieuwe manieren om pc-gebruikers aan te vallen en te infecteren. En daarvoor is er niets beters dan te profiteren van de programma's of services die standaard in het besturingssysteem zijn geïnstalleerd, zoals Dakramen en raamkozijnen Defender, de meest gebruikte antivirus van vandaag. Op deze manier heeft een groep hackers een nieuwe manier gevonden om de beveiliging van dit programma te omzeilen en LockBit 3.0 , een van de gevaarlijkste ransomware, kaapt alle gegevens op de computer en maakt het onmogelijk om deze te herstellen.

Ransomware is een van de gevaarlijkste en moeilijkst te detecteren soorten malware. Wanneer deze malware de computer bereikt, op welke manier dan ook, is het eerste wat het doet zichzelf in het besturingssysteem installeren en een manier vinden om te voorkomen dat de antivirus deze detecteert wanneer het wordt uitgevoerd. Dit kan op verschillende manieren worden bereikt, maar een van de meest interessante, recentelijk ontdekt, is om te profiteren van het gebruik van Kobaltaanval.

Hoe hackers Windows-antivirus gebruiken om uw computer te kapen

Cobalt Strike is een set tools die wordt gebruikt bij ethisch hacken om onopvallende netwerkanalyses uit te voeren, maar ook om lateraal binnen een netwerk te bewegen, gegevens te vinden, te coderen en te stelen. Deze tool is legitiem en antivirusprogramma's herkennen, detecteren en blokkeren het zonder enig probleem. De hackers achter deze ransomware hebben echter een zwak punt gevonden in de Windows Defender MpCmdRun.exe werkwijze. Dankzij dit is het mogelijk om kwaadaardige DLL's te downloaden en te injecteren die Cobalt Strike-bakens in het systeem injecteren.

Windows Defender - Antivirus nl Windows 11

Het proces MpCmdRun.exe is verantwoordelijk voor het uitvoeren van geplande scans op het systeem. En daarvoor hangt het af van een bibliotheek genaamd ” mpclient.dll “. Hackers hebben een nepbibliotheek met dezelfde naam gemaakt die, door deze in het pad van het origineel te plaatsen, erin slaagt om Windows Defender deze te laten uitvoeren. En door dit te doen, kan de ransomware verborgen blijven op het systeem.

Hoe we onszelf kunnen beschermen

Niet-detecteerbare malware komt steeds vaker voor, vooral bij zakelijke aanvallen. Hackers gebruiken sciencefictionachtige technieken om al deze maatregelen te ontwijken om zo de meest complexe computeraanvallen uit te voeren.

Het beste om ons tegen dit soort bedreigingen te beschermen, is door gezond verstand te gebruiken. Met andere woorden, we moeten voorkomen dat we internetbestanden downloaden van gevaarlijke webpagina's of iets dat ons bereikt via email. Zoals we hebben gezien, vallen ze in dit specifieke geval een zwak punt in Windows Defender aan, dus om onszelf te beschermen, kunnen we deze antivirus vervangen door een andere, zoals Kaspersky of McAfee.

Ransomware valt het belangrijkste aan op onze pc: bestanden. Daarom is een indirecte manier om onszelf te beschermen: om er reservekopieën van te maken . Op deze manier hebben we in het ergste geval, als het ons infecteert en onze gegevens steelt, een ontsnappingsroute. Het is voldoende om te formatteren, alle sporen van malware te wissen en de back-up te herstellen. Natuurlijk moeten we ervoor zorgen dat het schoon is als we willen voorkomen dat we opnieuw besmet raken.