Hackare är alltid innovativa när det kommer till lansering malware attacker . Antingen för att stjäla pengar eller känslig information från sina offer. Och det är att, även om vi har antivirusskydd på våra datorer, denna attack mot Windows kan slå ner helt Microsoft mjukvaruskyddssystem.
Faktum är att den här gången har det varit det. I grund och botten, eftersom hackare har hittat ett effektivt sätt att inaktivera vissa antivirus på Windows-datorer , vilket öppnar dörren för dem att distribuera alla typer av skadlig programvara på de datorer som har lämnats utan skydd. Utöver detta kommer vi att berätta vad säkerhetsexperterna och Microsoft rekommenderar.
Skadlig programvara som inaktiverar ett antivirusprogram
Under det senaste året har cybersäkerhetsföretaget AhnLab Säkerhet upptäckte upp till två sådana attacker. I dessa testade de två sårbarheter i Sunlogin program , en fjärrkontrollprogramvara som har utvecklats i Kina. Problemet kommer när två sårbarheter för fjärrkörning av kod har upptäckts: CNVD-2022-10270 och CNVD-2022-03672. Dessa sårbarheter, som har hittats i detta fjärrkontrollprogram, finns i Sunlogin v11.0.0.33 och tidigare .
På detta sätt uppnås det genom att implementera ett krypterat PowerShell-skript som avaktiverar skyddsprogrammet av Windows-enheter, i det här fallet antivirusprogrammet som för närvarande är aktiverat på datorn. I grund och botten lyckas dessa PowerShell-skript avkoda en bärbar .NET-körbar fil, en modifierad öppen källkod Mhyprot2DrvControl program som använder sårbara Windows-drivrutiner för att få privilegier på kärnnivå. I grund och botten använder utvecklaren av Mhyprot2DrvControl de eskalerade privilegierna via mhyprot2.sys.
När angripare väl kan inaktivera antivirus helt på en Windows-dator har de ett nytt syfte: att installera vilken skadlig programvara de vill. Antingen för att stjäla privata data (bankinformation, användarinformation...) eller av någon annan anledning, som att spionera på offren. Vid olika tillfällen installerade de till och med skadlig programvara som Sliver, Gh0st RAT (fjärråtkomsttrojan) eller till och med programvara med vilken att bryta XMRig-kryptovalutor .
Använd BYOVD-tekniken
Denna metod som har använts är känd som BYOVD (Bring Your Own Device), ett sätt att prata om det faktum att använda personliga enheter för att komma åt resurserna i ditt företag eller arbete. För att förhindra just detta rekommenderar Microsoft att Windows-administratörer aktiverar Blockeringslista för sårbara förare för att skydda mot BYOVD-attacker.
Och inte bara vi hittar detta rekommendation från Microsoft , men cybersäkerhetsexperterna från AhnLab Security gör det klart för oss att om vi använder det här programmet på vår Windows-dator, måste vi inte bara uppdatera programvaran för att ha säkerhetskorrigeringen som hindrar dem från att utnyttja dessa två sårbarheter, rekommenderas det också att uppdatera operativsystemet. På så sätt kommer vi att kunna undvika att falla i fällan av dessa hackare och framför allt slipper vi ta itu med just den här skadliga programvaran.
