Найти в Дзене
CISOCLUB
11,4 тыс подписчиков

Рост атак с подписанными драйверами: угрозы вредоносного ПО уровня ядра

8
4 мин
Оглавление
Источник: www.group-ib.com
Источник: www.group-ib.com

Рост использования подписанных вредоносных драйверов для атак уровня ядра Windows

Киберпреступники все чаще применяют сложные методы, используя загрузчики ядра Windows и драйверы с цифровой подписью, чтобы получить привилегированный доступ и сохранить контроль над скомпрометированными системами. Вредоносное ПО уровня ядра, работающее на уровне ring 0, позволяет злоумышленникам эффективно обходить средства безопасности и избегать обнаружения, что значительно расширяет возможности для проведения атак и манипуляции системами.

Тенденции и масштаб проблемы

С 2020 года наблюдается заметный рост числа атак с использованием подписанных вредоносных драйверов. Анализ выявил следующие ключевые показатели:

  • Более 620 вредоносных драйверов, связанных с различными киберкампаниями.
  • Использование более 80 цифровых сертификатов и многочисленных учетных записей программы совместимости оборудования Windows (WHCP).
  • Активное применение подписанных драйверов для управления критически важными функциями ОС с высокими привилегиями.

Эти данные свидетельствуют о систематическом и усовершенствованном подходе злоумышленников к эксплуатации доверия, оказываемого легитимным сертификатам и механизмам подписания кода.

Технические механизмы защиты и их обход

Современные меры безопасности Windows включают:

  • PatchGuard – механизм, предотвращающий вмешательство в ядро ОС;
  • Принудительное использование сигнатур драйверов – ограничение загрузки неподписанного кода;
  • Защита от вредоносных программ на ранней стадии загрузки (early boot malware protection);
  • Целостность кода, защищенную гипервизором, – механизм, контролирующий неизменность кода на уровне ядра.

Однако, несмотря на эти уровни защиты, хакеры учатся обходить защитные технологии, зачастую используя подпольные сервисы, которые предоставляют доступ к законным механизмам цифровой подписи. Благодаря этому вредоносные драйверы получают легитимный цифровой сертификат, что позволяет им работать незаметно и с высокими привилегиями.

Примеры и выводы анализа вредоносных драйверов

Исследование более 600 подписанных Group-IB драйверов показало, что около 32% из них выступают как загрузчики, которые извлекают полезную нагрузку с серверов управления или хранят её локально. Особого внимания заслуживает эволюция банковского трояна Blackmoon, который интегрировал драйвер Hugo. Этот драйвер способен расшифровывать и загружать неподписанные драйверы для выполнения разнообразных задач в области управления памятью и сетевыми операциями.

Расследование также выявило значительное совпадение инфраструктуры подписи между различными кампаний. Например, вредоносная кампания POORTRY была связана с несколькими семействами программ-вымогателей, что подтверждает глубокую координацию и повторное использование ресурсов в киберпреступных кругах.

Рынок подпольных цифровых сертификатов и системные риски

С 2020 года рынок подпольных сертификатов расширенной проверки (Extended Validation, EV) с кодовой подписью активно развивается. Услуги по предоставлению таких сертификатов позволяют злоумышленникам создавать вредоносные драйверы, которые могут эффективно обходить программное обеспечение безопасности.

Основные риски и последствия включают:

  • Злоупотребление законными процедурами получения сертификатов, особенно со стороны компаний из Китая;
  • Критические уязвимости в процессе выдачи цифровых сертификатов;
  • Необходимость ужесточения контроля и механизмов проверки при выдаче сертификатов;
  • Сложности обнаружения подписанного вредоносного ПО на уровне ядра.

Как подчеркнули эксперты, «способность злоумышленников внедрять подписанные вредоносные драйверы создает постоянные вызовы для безопасности и требует комплексного подхода к усилению защиты на уровне всей цепочки доверия».

Заключение

Распространение подписанных драйверов с вредоносным кодом – один из наиболее тревожных трендов в современной кибербезопасности. Применение таких драйверов в атаках на системном уровне Windows демонстрирует высокую технологическую зрелость преступников и уязвимости существующих механизмов защиты.

Для противодействия этим угрозам необходимо:

  • Улучшать процессы контроля за выдачей цифровых сертификатов;
  • Разрабатывать более совершенные технологии детектирования вредоносных драйверов;
  • Повышать культуру безопасности среди пользователей и администраторов систем;
  • Совместно работать с поставщиками программного обеспечения и государственными органами для минимизации рисков.

Только интегрированный и системный подход позволит снизить угрозы, связанные с вредоносными драйверами уровня ядра, и повысить уровень кибербезопасности в целом.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Рост атак с подписанными драйверами: угрозы вредоносного ПО уровня ядра".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Взгляните на эти темы
Кибербезопасность
Смартфоны
Найти тему
Умные часы
Камеры и фототехника
Графические планшеты
Ноутбуки
Наушники
Электронные книги
Машинное обучение (Machine Learning)
Форум «Цифровые решения»
Гаджеты и электроника
IT (информационные технологии)
Игровые консоли
Колонки и аудиосистемы
VR-очки
Планшеты
Фитнес-трекеры
Нейронные сети (Neural Networks)
Социальные сети и мессенджеры
Технологии будущего
Кибербезопасность
25,6 тыс интересуются