Хакеры всегда изобретают, когда дело доходит до запуска вредоносных атак . Либо для кражи денег или конфиденциальной информации у своих жертв. И дело в том, что, хотя у нас на компьютерах есть антивирусная защита, эта атака против Windows может полностью сбить Microsoft система защиты программного обеспечения.
Собственно, в этот раз так и было. По сути, потому что хакеры нашли эффективный способ отключить определенные антивирус на компьютерах Windows , что открывает им возможность развертывать всевозможные вредоносные программы на тех ПК, которые остались без защиты. В дополнение к этому мы расскажем вам, каковы рекомендации экспертов по безопасности и Microsoft.
Вредоносное ПО, которое отключает антивирус
За последний год компания по кибербезопасности AhnLab Безопасность. обнаружено до двух таких атак. В них они протестировали две уязвимости в Программа Sunlogin , программа дистанционного управления, разработанная в Китае. Проблема возникает, когда были обнаружены две уязвимости удаленного выполнения кода: CNVD-2022-10270 и CNVD-2022-03672. Эти уязвимости, которые были обнаружены в этой программе удаленного управления, присутствуют в Sunlogin v11.0.0.33 и более ранние версии .
Таким образом, это достигается за счет реализации зашифрованного сценария PowerShell, который деактивирует программу защиты Windows-устройств, в данном случае антивирус, который в данный момент включен на компьютере. По сути, этим сценариям PowerShell удается декодировать переносимый исполняемый файл .NET, модифицированный файл с открытым исходным кодом. Мипрот2ДрвКонтроль программа, использующая уязвимые драйверы Windows для получения привилегий на уровне ядра. По сути, разработчик Mhyprot2DrvControl использует повышенные привилегии через mhyprot2.sys.
Кроме того, как только злоумышленники смогут полностью отключить антивирус на компьютере с Windows, у них появится новая цель: установить любое вредоносное ПО, которое они захотят. Либо для кражи личных данных (банковская информация, информация о пользователях…), либо по любой другой причине, например, для слежки за жертвами. В разных случаях они даже устанавливали вредоносные программы, такие как Sliver, Gh0st RAT (троян удаленного доступа) или даже программное обеспечение, с помощью которого для майнинга криптовалюты XMRig .
Используйте технику BYOVD
Этот метод, который использовался, известен как BYOVD (Bring Your Own Device), способ рассказать о факте использования личных устройств для доступа к ресурсам вашей компании или работы. Чтобы предотвратить это, Microsoft рекомендует администраторам Windows включить Черный список уязвимых драйверов для защиты от атак BYOVD.
И не только это мы находим рекомендация от майкрософт , но эксперты по кибербезопасности из AhnLab Security ясно дают нам понять, что если мы используем эту программу на нашем ПК с Windows, мы должны не только обновить программное обеспечение Чтобы установить исправление безопасности, предотвращающее использование этих двух уязвимостей, также рекомендуется обновить операционную систему. Таким образом, мы сможем избежать попадания в ловушку этих хакеров и, прежде всего, нам не придется иметь дело с этим конкретным вредоносным ПО.