Dette brutale angrepet mot Windows er i stand til å slå ned antivirusprogrammet ditt

Hackere er alltid nyskapende når det kommer til lansering malware-angrep . Enten for å stjele penger eller sensitiv informasjon fra ofrene deres. Og det er at selv om vi har antivirusbeskyttelse på våre datamaskiner, dette angrepet mot Windows kan slå helt ned Microsoft programvarebeskyttelsessystem.

Faktisk har det vært denne gangen. I utgangspunktet, fordi hackere har funnet en effektiv måte å deaktiver visse antivirus på Windows-datamaskiner , som åpner døren for dem til å distribuere all slags skadelig programvare på de PC-ene som har blitt stående uten beskyttelse. I tillegg til dette vil vi fortelle deg hva som er anbefalingene fra sikkerhetseksperter og Microsoft.

Dette brutale angrepet mot Windows er i stand til å slå ned antivirusprogrammet ditt

Skadevare som deaktiverer et antivirus

I løpet av det siste året har cybersikkerhetsselskapet AhnLab Sikkerhet oppdaget opptil to slike angrep. I disse testet de to sårbarheter i Sunlogin-program , en fjernkontrollprogramvare som er utviklet i Kina. Problemet kommer når to sikkerhetsproblemer med ekstern kjøring av kode har blitt oppdaget: CNVD-2022-10270 og CNVD-2022-03672. Disse sårbarhetene, som er funnet i dette fjernkontrollprogrammet, finnes i Sunlogin v11.0.0.33 og tidligere .

På denne måten oppnås det ved å implementere et kryptert PowerShell-skript som deaktiverer beskyttelsesprogrammet av Windows-enheter, i dette tilfellet antivirusprogrammet som for øyeblikket er aktivert på datamaskinen. I utgangspunktet klarer disse PowerShell-skriptene å dekode en bærbar .NET-kjørbar fil, en modifisert åpen kildekode Mhyprot2DrvControl program som bruker sårbare Windows-drivere for å få rettigheter på kjernenivå. I utgangspunktet bruker utvikleren av Mhyprot2DrvControl de eskalerte rettighetene via mhyprot2.sys.

windows 10 skadelig programvare

Når angripere er i stand til å fullstendig deaktivere antivirus på en Windows-datamaskin, har de også et nytt formål: å installere hvilken som helst skadelig programvare de vil ha. Enten for å stjele private data (bankinformasjon, brukerinformasjon ...) eller av andre grunner, for eksempel å spionere på ofrene. Ved forskjellige anledninger installerte de til og med skadelig programvare som Sliver, Gh0st RAT (fjerntilgang Trojan) eller til og med programvare som å utvinne XMRig-kryptovalutaer .

Bruk BYOVD-teknikken

Denne metoden som har blitt brukt er kjent som BYOVD (Bring Your Own Device), en måte å snakke om det faktum å bruke personlige enheter for å få tilgang til ressursene til bedriften eller arbeidet ditt. For å forhindre nettopp dette, anbefaler Microsoft at Windows-administratorer aktiverer Blokkeringsliste for sårbare sjåfører for å beskytte mot BYOVD-angrep.

Og ikke bare finner vi dette anbefaling fra Microsoft , men cybersikkerhetsekspertene fra AhnLab Security gjør det klart for oss at hvis vi bruker dette programmet på vår Windows-PC, må vi ikke bare oppdater programvaren for å ha sikkerhetsoppdateringen som hindrer dem i å utnytte disse to sårbarhetene, anbefales det også å oppdatere operativsystemet. På denne måten vil vi kunne unngå å falle i fellen til disse hackerne, og fremfor alt slipper vi å forholde oss til denne spesielle skadevare.