Беззащитные механизмы: хакеры нашли способ отключать антивирусы
В России появилась новая хакерская группировка, которая отключает защитные решения при атаках на организации, рассказали «Известиям» в компаниях по кибербезопасности. Злоумышленники проникают в корпоративную сеть через уязвимость в ПО, которое используется для удаленного управления компьютером, и загружают вредоносный софт. Такая брешь, как указали эксперты, осталась во многих компаниях с периода удаленки в пандемию коронавируса. И через нее, как выяснилось, можно отключить практически любой антивирус. Подробности — в материале «Известий».
Какой способ используют хакеры
Новую кибергруппировку, которая отключает защитные решения при атаках на российские компании, обнаружили эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар». В ходе расследования выяснилось, что злоумышленники проникали в корпоративные сети через уязвимость в программном обеспечении DameWare Mini Remote Control, которое используется для удаленного управления компьютером. Оказалось, что со времен пандемии для отдельных систем в инфраструктуре порт DameWare так и остался доступен из внешней сети.
В компании сообщили, что выявили несколько атак от этой группировки и метод работы хакеров был идентичным — через порт для удаленного доступа. Он позволяет отключить антивирус практически от любого разработчика.
В частности, во время атаки на промышленную компанию киберпреступники разместили вредоносный файл в директории агента администрирования антивирусного решения и отключили антивирус «Лаборатории Касперского».
— Эксперты сообщили вендору об обнаруженной механике, после чего «Лаборатория Касперского» оперативно доработала механизмы самозащиты продуктов и выпустила соответствующие обновления, — рассказали в «Солар». — Одной из функций вредоноса было отключение MiniFilter — технологии фильтрации файловой системы в Windows. Компоненты безопасности многих защитных решений используют этот фильтр для сбора информации об операциях в файловой системе, обнаружения необычного поведения, контроля за приложениями и анализа потенциальных угроз.
Эту технологию также используют для защиты антивируса от несанкционированного доступа и отключения хакерами. И в ходе атаки вредоносный драйвер создает и регистрирует собственный MiniFilter защитного решения, после чего заменяет его фиктивной функцией-заглушкой. Таким образом для антивируса блокируется возможность мониторинга, и киберпреступники могут загружать любой вредоносный софт.
В последнее время хакеры всё чаще применяют инструменты, позволяющие отключать и обходить средства защиты, поставляемые различными вендорами, рассказал «Известиям» эксперт центра исследования киберугроз Solar 4RAYS Дмитрий Маричев.
— Подходы и техническая реализация уклонения и деактивации защитных решений отличаются лишь деталями, например именами файлов их компонентов, — пояснил он. — Особая опасность заключается в том, что технику теперь активно применяют проукраинские группировки, которые нацелены на уничтожение российской инфраструктуры, а не на «тихий» шпионаж, как атакующие из Азиатского региона.
При проведении целевых атак для проникновения в инфраструктуру злоумышленники часто пользуются уязвимостями в ПО, доступном из внешней сети, подтвердил руководитель лаборатории антивирусных исследований «Лаборатории Касперского» Владимир Кусков.
— Если им это удается, они нередко пытаются обойти или отключить защитное ПО с целью избегания детектирования, — сказал эксперт. — Для этого злоумышленники могут использовать уязвимые или вредоносные драйверы, код которых исполняется в операционной системе на максимально привилегированном уровне и может угрожать целостности механизмов безопасности ОС.
Как защититься от вредоносного ПО
Это не единственная техника отключения и блокировки защитного решения, которую используют преступники. Ранее в одной из атак злоумышленники вывели из строя IT-инфраструктуру российской промышленной компании, также предварительно отключив антивирус. Хакеры проникли в сеть промышленной организации в апреле 2024 года через взломанную учетную запись подрядчика.
С хоста подрядчика по RDP (протокол удаленного рабочего стола) они получили доступ к ряду систем, смогли отключить защитное ПО, чтобы их действия невозможно было обнаружить и заблокировать. Это удалось из-за изъяна при взаимодействии операционной системы Windows с цифровыми подписями драйверов.
Легитимные средства удаленного управления остаются в арсенале хакеров уже продолжительное время, отметил руководитель BI.ZONE Threat Intelligence Олег Скулкин.
— Это зачастую позволяет им привлекать минимум внимания к вредоносной деятельности, особенно если такое ПО используется в скомпрометированной организации, — пояснил эксперт. — Уязвимости в публично доступных приложениях уже который год остаются в тройке популярных методов получения первоначального доступа.
Что еще применяют преступники
Гендиректор компании «Нейроинформ» Александр Дмитриев добавил, что еще до пандемии, в 2019 году, злоумышленники использовали уязвимости удаленного доступа.
— Сотрудникам необходимо было сперва подключится по VPN, а после этого уже к системе удаленного управления, — отметил эксперт. — Видимо, кто-то в компаниях хотел сэкономить ресурсы на безопасности, силы, время и так далее. Мы сами обнаруживали во время наших тестов, что наружу торчат целиком пользовательские системы. И когда компании ушли на пандемию, многие из них были не готовы к удаленной работе.
Тогда вся информация в основном находилась не на серверах, а на локальных компьютерах пользователей. И в некоторых компаниях пользователь заходил на один и тот же IP-адрес.
— Соответственно, это всё взламывалось достаточно просто и имело печальные последствия. И такие вот огрехи еще остаются, — добавил он.
Владелец антивирусного продукта в компании PRO32 Валентин Поляков рассказал «Известиям», что чаще всего киберпреступники взламывают серверы компаний через брутфорс-атаки (метод автоматического перебора паролей), подключаются удаленно, используя встроенные в операционную систему инструменты, вручную отключают антивирус (если он не был запаролен) и запускают вредоносные программы, которые были подготовлены заранее.
— Как правило, это вирусы-шифраторы, которые шифруют критически важные файлы организации, после чего вымогатели оставляют собственные контакты для связи с целью оплаты выкупа для получения ключа расшифровки, — сказал он. — Такие инциденты могут иметь очень серьезные последствия.
Владимир Кусков подчеркнул, что пользователям необходимо своевременно и регулярно обновлять операционную систему и установленное ПО, а также проверять защиту и корректную настройку всех необходимых компонентов и решений.
При использовании удаленного доступа, по словам Валентина Полякова, важно использовать надежные и грамотно настроенные средства, которые по умолчанию разработаны таким образом, что практически исключают вероятность взлома. А также доверять настройку удаленного доступа опытному системному администратору.
