Hackers zijn altijd aan het innoveren als het om lanceren gaat malware-aanvallen . Ofwel om geld of gevoelige informatie van hun slachtoffers te stelen. En het is dat, hoewel we antivirusbescherming op onze computers hebben, deze aanval tegen Windows kan volledig knock down de Microsoft software beveiligingssysteem.
Sterker nog, deze keer is het zo geweest. Kortom, omdat hackers een effectieve manier hebben gevonden bepaalde uitschakelen antivirus op Windows-computers , wat voor hen de deur opent om allerlei soorten malware in te zetten op die pc's die zonder bescherming zijn achtergelaten. Daarnaast zullen we u vertellen wat de aanbevelingen zijn van beveiligingsexperts en Microsoft.
De malware die een antivirusprogramma uitschakelt
Het afgelopen jaar heeft het cyberbeveiligingsbedrijf AhnLab Veiligheid ontdekte tot twee van dergelijke aanvallen. Hierin testten ze twee kwetsbaarheden in de Inlogprogramma , software voor afstandsbediening die is ontwikkeld in China. Het probleem doet zich voor wanneer twee kwetsbaarheden voor het uitvoeren van externe code zijn ontdekt: CNVD-2022-10270 en CNVD-2022-03672. Deze kwetsbaarheden, die zijn gevonden in dit afstandsbedieningsprogramma, zijn aanwezig in Inloggen v11.0.0.33 en eerder .
Op deze manier wordt dit bereikt door een gecodeerd PowerShell-script te implementeren dat deactiveert het beveiligingsprogramma van Windows-apparaten, in dit geval de antivirus die momenteel op de computer is ingeschakeld. Kortom, die PowerShell-scripts slagen erin om een draagbaar .NET-uitvoerbaar bestand, een aangepaste open source, te decoderen Mijnhyprot2DrvControl programma dat kwetsbare Windows-stuurprogramma's gebruikt om privileges op kernelniveau te verkrijgen. Kortom, de ontwikkelaar van Mhyprot2DrvControl gebruikt de geëscaleerde privileges via mhyprot2.sys.
Zodra aanvallers eenmaal in staat zijn om antivirusprogramma's op een Windows-computer volledig uit te schakelen, hebben ze een nieuw doel: om welke malware dan ook te installeren die ze maar willen. Ofwel om privégegevens te stelen (bankgegevens, gebruikersgegevens...) of om een andere reden, zoals het bespioneren van de slachtoffers. Bij verschillende gelegenheden installeerden ze zelfs malware zoals Sliver, Gh0st RAT (trojan voor externe toegang) of zelfs software waarmee om XMRig-cryptocurrencies te minen .
Gebruik de BYOWD-techniek
Deze gebruikte methode staat bekend als BYOVD (Bring Your Own Device), een manier om te praten over het gebruik van persoonlijke apparaten om toegang te krijgen tot de bronnen van uw bedrijf of werk. Om dit te voorkomen, raadt Microsoft aan dat Windows-beheerders de Blokkeringslijst voor kwetsbare stuurprogramma's ter bescherming tegen BYOVD-aanvallen.
En dat vinden we niet alleen aanbeveling van Microsoft , maar de cybersecurity-experts van AhnLab Security maken ons duidelijk dat als we dit programma op onze Windows-pc gebruiken, we niet alleen update de software om de beveiligingspatch te hebben die voorkomt dat ze deze twee kwetsbaarheden misbruiken, wordt het ook aanbevolen om het besturingssysteem bij te werken. Op deze manier kunnen we voorkomen dat we in de val lopen van deze hackers en krijgen we vooral niet te maken met deze specifieke malware.