雅加达 - 当恶意软件潜伏时,防病毒通常是一种可靠的保护工具,但事实证明,网络威胁行为者已经找到了禁用该软件的方法。
网络安全公司Sophos的研究表明,禁用防病毒软件的方法(也称为“自带易受攻击的驱动程序”)的工作原理以及它对全球企业的影响。
根据这项研究,BlackByte勒索软件组织被发现是这次攻击背后的策划者。它们涉及 MSI 加力燃烧室驱动程序版本 RTCore64.sys以及 RTCore32.sys这些版本容易受到权限提升和代码执行缺陷的影响,这些缺陷被跟踪为 CVE-2019-16098。
加力燃烧室是GPU的超频实用程序,使用户可以更好地控制硬件。鉴于漏洞,它可以帮助BlackByte禁用防病毒等安全产品需要运行的1,000多个驱动程序。
“他们很可能会继续滥用合法驱动程序来绕过安全产品,”Sophos在一篇博客文章中解释道。
为了防止这种新的攻击方法,Sophos 建议 IT 管理员将这些自定义 MSI 加力燃烧室 RTCore64.sys 和 RTCore32.sys驱动程序添加到活动阻止列表中,并确保它们不适用于端点。
除此之外,他们还应该密切关注设备上安装的所有驱动程序,并经常审核端点,以防在没有硬件匹配的情况下进行恶意注入。
Sophos还强调了BlackByte在这次攻击中使用的一些方法来逃避安全研究人员的分析,例如寻找在目标系统上运行的调试器的迹象并停止。
黑字节还会检查阿瓦斯特、沙盒、Windows DbgHelp 库和科摩多网络安全特警使用的动态链接库 (DLL) 钩子列表,如果找到,甚至可以停止执行。
带上自己的易受攻击的司机可能是一种新方法,但它的受欢迎程度正在迅速增加。本周早些时候,一位著名的朝鲜赞助的威胁行为者Lazarus集团也被发现对DELL品牌的固件驱动程序使用了相同的技术。
鱼叉式网络钓鱼活动于2021年秋季开始,确认的目标包括荷兰的航空航天员工和比利时的政治记者,他们通过提供亚马逊的假工作。
根据网络安全研究人员ESET发布有关该活动的报告,主要目标是间谍和数据盗窃。他们将分享虚假的职位描述pdf,这些PDF基本上是旧的和脆弱的戴尔驱动程序。
使这种技术如此危险的原因是,此驱动程序看起来无害,因此不会被防病毒软件检测到。
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)
