Bilgisayar korsanları, lansman söz konusu olduğunda her zaman yenilik yapıyor kötü amaçlı yazılım saldırıları . Ya kurbanlarından para ya da hassas bilgiler çalmak için. Ve bilgisayarlarımızda antivirüs koruması olmasına rağmen, bu saldırı Windows tamamen yıkabilir Microsoft yazılım koruma sistemi
Aslında bu sefer öyle oldu. Temel olarak, bilgisayar korsanları etkili bir yol buldukları için bazılarını devre dışı bırak Windows bilgisayarlarda antivirüs , korumasız bırakılan bilgisayarlara her türlü kötü amaçlı yazılımı yerleştirmeleri için kapıyı açar. Bunun yanı sıra güvenlik uzmanlarının ve Microsoft'un tavsiyelerinin neler olduğunu size anlatacağız.
Bir virüsten koruma yazılımını devre dışı bırakan kötü amaçlı yazılım
Geçen yıl, siber güvenlik şirketi AhnLab Güvenlik bu türden iki adede kadar saldırı keşfetti. Bunlarda, iki güvenlik açığını test ettiler. oturum açma programı , Çin'de geliştirilmiş bir uzaktan kumanda yazılımı. Sorun, iki uzaktan kod yürütme güvenlik açığı keşfedildiğinde ortaya çıkar: CNVD-2022-10270 ve CNVD-2022-03672. Bu uzaktan kontrol programında bulunan bu güvenlik açıkları, Sunlogin v11.0.0.33 ve öncesi .
Bu şekilde, şifrelenmiş bir PowerShell betiği uygulanarak elde edilir. koruma programını devre dışı bırakır Windows cihazlarında, bu durumda bilgisayarda şu anda etkin olan antivirüs. Temel olarak, bu PowerShell komut dosyaları, değiştirilmiş bir açık kaynak olan taşınabilir bir .NET yürütülebilir dosyasının kodunu çözmeyi başarır. Mhyprot2DrvControl çekirdek düzeyinde ayrıcalıklar elde etmek için savunmasız Windows sürücülerini kullanan program. Temel olarak, Mhyprot2DrvControl geliştiricisi, mhyprot2.sys aracılığıyla yükseltilmiş ayrıcalıkları kullanır.
Ayrıca, saldırganlar bir Windows bilgisayarda virüsten koruma yazılımını tamamen devre dışı bırakabildiklerinde, yeni bir amaçları vardır: istedikleri kötü amaçlı yazılımı yüklemek. Ya özel verileri (banka bilgileri, kullanıcı bilgileri…) çalmak ya da kurbanları gözetlemek gibi başka herhangi bir nedenle. Farklı durumlarda, Sliver, Gh0st RAT (uzaktan erişim Truva Atı) gibi kötü amaçlı yazılımları ve hatta hangi yazılımları yüklediler? XMRig kripto para birimleri madenciliği yapmak için .
BYOVD tekniğini kullanın
Kullanılan bu yöntem, şirketinizin veya işinizin kaynaklarına erişmek için kişisel cihazların kullanılması gerçeğinden bahsetmenin bir yolu olan BYOVD (Kendi Cihazını Getir) olarak bilinir. Yalnızca bunu önlemek için Microsoft, Windows yöneticilerinin Savunmasız Sürücü Engelleme Listesi BYOVD saldırılarına karşı koruma sağlamak için.
Ve sadece bunu bulmakla kalmıyoruz Microsoft'tan tavsiye , ancak AhnLab Security'nin siber güvenlik uzmanları, bu programı Windows PC'mizde kullanıyorsak, yalnızca yazılımı güncelle bu iki güvenlik açığından yararlanmalarını engelleyen güvenlik yamasına sahip olmak için işletim sistemini güncellemeniz de önerilir. Bu şekilde, bu bilgisayar korsanlarının tuzağına düşmekten kaçınabileceğiz ve her şeyden önce, bu özel kötü amaçlı yazılımla uğraşmak zorunda kalmayacağız.
