Современные киберугрозы становятся все более сложными, и злоумышленники все чаще прибегают к методам отключения средств безопасности для достижения своих целей. В недавнем отчете подробно описываются инциденты, связанные с отключением защитника Windows и других защитных технологий, что позволяет злонамеренным программам действовать более скрытно.
Пример атаки: программа-вымогатель INC
В мае 2024 года программа-вымогатель INC использовала встроенную утилиту Windows под названием SystemSettingsAdminFlows.exe для отключения защитника Windows. Этот шаг является крайне опасным, поскольку защитник Windows играет ключевую роль в защите систем от вредоносных программ и других угроз. Используя взломанную учетную запись пользователя, злоумышленники изменили разделы реестра, связанные с защитником Windows. Данные действия можно было отслеживать с помощью идентификатора события Windows 5007.
Другие ключевые инциденты
Кроме вышеупомянутого случая, злоумышленники также применяли различные методы для обхода защиты:
- Вредоносная программа WhisperGate добавила свой каталог в список исключений Защитника Windows, что позволило ей уклоняться от сканирования.
- Группа программ-вымогателей BlackCat использовала инструмент ToggleDefender для отключения защитника Windows и SmartScreen, открывая системы для дальнейших атак.
Обход защиты AMSI
Также злоумышленники стали использовать интерфейс проверки на наличие вредоносных программ (AMSI), необходимый для взаимодействия приложений с продуктами защиты. В сентябре 2024 года был зафиксирован случай использования скрипта PowerShell amsi_patch.ps1 для отключения AMSI. В результате хакеры смогли запустить ряд вредоносных программ, включая бэкдоры K4Spreader и Tsunami, а также криптоминеры XMRig.
Уязвимости в антивирусных решениях
Неудивительно, что злоумышленники стремятся отключать и антивирусные решения. В январе 2024 года вымогатели Kasseika использовали метод Bring Your Own Vulnerable Driver (BYOVD), чтобы эксплуатировать подписанный драйвер viragt64.sys с целью отключения антивирусного ПО. После успешного обхода защиты, злоумышленники развернули вредоносное ПО и завершили все активные процессы антивируса.
Целевые решения для обнаружения и реагирования
Киберпреступники также нацеливаются на решения для обнаружения конечных точек и реагирования на них (EDR). В сентябре 2024 года программа-вымогатель RansomHub использовала инструмент EDRKillShifter, который отключал EDR и антивирусные системы. Эта вредоносная программа использовала известные уязвимые драйверы для обхода мониторинга безопасности, что позволяло хакерам действовать с минимальным риском обнаружения.
Таким образом, текущие методы злонамеренных действий подчеркивают необходимость постоянного обновления и улучшения средств кибербезопасности, чтобы защититься от все более изощренных угроз.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Злоумышленники отключают системы безопасности для скрытных атак".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.