«Солар»: хакеры отключают антивирус, чтобы скрыть кибератаку
Эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар» обнаружили новую кибергруппировку, которая отключает защитные решения при атаках на российские компании. Этот тренд все чаще встречается при расследовании инцидентов.
В частности, в атаке на промышленную организацию хакеры проникли в корпоративную сеть жертвы через уязвимость в ПО DameWare Mini Remote Control (используется для удаленного управления компьютером). Далее они разместили ВПО в директории агента администрирования антивирусного решения и в данном кейсе отключили антивирус «Лаборатории Касперского». Эксперты Solar 4RAYS сообщили вендору об обнаруженной механике, и «Лаборатория Касперского» оперативно доработала механизмы самозащиты продуктов.
Одной из функций загруженного ВПО было отключение MiniFilter — технологии фильтрации файловой системы в Windows, которая используется во многих защитных решениях. В ходе атаки вредоносный драйвер создает и регистрирует собственный MiniFilter, находит смещение callback-функции MiniFilter защитного решения и заменяет их фиктивной функцией-заглушкой, блокируя антивирусу возможность мониторинга. После этого злоумышленники могут загружать любой вирус в систему, не боясь обнаружения.
«Взаимодействие экспертов отрасли — один из важнейших элементов обеспечения киберзащиты, и мы благодарны специалистам “Солара” за подробный анализ. "Лаборатория Касперского" напоминает, что для надежной защиты от целевых атак необходимо выстраивать эшелонированную систему защиты, включающую не только автоматические решения для конечных точек, но и средства мониторинга угроз и реагирования на них, такие как EDR, NDR и XDR, а также активное использование инструментов киберразведки,— отметил Владимир Кусков, руководитель лаборатории антивирусных исследований “Лаборатории Касперского”.— Чтобы не допустить использования описанных или аналогичных инструментов злоумышленниками, мы улучшили механизмы обнаружения и самозащиты продуктов и выпустили соответствующие обновления. В них, в частности, были усилены правила обнаружения для всей цепочки эксплуатации, включая загрузку подозрительных драйверов».
Это далеко не единственная техника отключения и блокировки защитного решения, с которой в расследованиях сталкиваются эксперты Solar 4RAYS.
«Атакующие все чаще применяют инструменты, позволяющие обходить различные средства защиты. Особая опасность заключается в том, что технику активно применяют проукраинские группировки, нацеленные на уничтожение российской инфраструктуры, а не на “тихий” шпионаж, как атакующие из Азии. Чтобы вовремя пресечь подобную атаку, нужно регулярно проверять работоспособность установленных в инфраструктуре защитных решений и контролировать, идет ли с них телеметрия. Также важно проводить оценку компрометации, что значительно повышает шансы выявить атаку до наступления серьезных последствий»,— сказал эксперт центра исследования киберугроз Solar 4RAYS ГК «Солар» Дмитрий Маричев.
ГК «Солар»
Реклама