Бесплатно Экспресс-аудит сайта:

Проверить
ГлавнаяО компанииПочему?Аудит безопасностиУстранение уязвимостейFAQНовостиКонтакты
16.12.2022

Злоумышленники используют драйверы Microsoft для взлома систем

Microsoft 13 декабря заявила , что заблокировала и приостановила действия учетных записей, которые использовались для публикации вредоносных драйверов, сертифицированных программой Windows Hardware Developer Program.

Расследование Microsoft показало, что активность была ограничена несколькими учетными записями программ разработчиков, и что дальнейшего взлома обнаружено не было. Расследование, было инициировано после того, как в октябре ИБ-компания Sophos сообщила о мошеннических драйверах, которые использовались для пост-эксплуатации и развертывания программ-вымогателей.

Такой метод атаки называется BYOVD (Bring Your Own Vulnerable Driver). Этот метод позволяет злоумышленнику с привилегиями администратора легко обойти защиту ядра Windows. Вместо того, чтобы писать эксплойт с нуля, киберпреступник просто устанавливает сторонний драйвер с известными уязвимостями. Затем он использует эти уязвимости, чтобы получить мгновенный доступ к некоторым из наиболее защищенных областей Windows.

Также компания Mandiant обнаружила , что группировка UNC3944 использует загрузчик STONESTOP для установки вредоносного драйвера POORTRY, предназначенного для завершения процессов антивирусных программ и удаления файлов.

Злоумышленники используют скомпрометированные, украденные и незаконно приобретенные сертификаты подписи кода для подписи вредоносного ПО. Было подписано несколько отдельных семейств вредоносных программ, связанных с отдельными субъектами угроз. Более того, хакеры используют сервис для подписи кода «на заказ» (malicious driver signing as a service), при этом они получают артефакты вредоносного ПО, подписанные через процесс аттестации Microsoft от имени участников сервиса.

Утверждается, что STONESTOP и POORTRY использовались в атаках на секторы телекоммуникаций, бизнес-аутсорса, MSP-услуг, финансовых услуг, криптовалют и транспорта.

С тех пор Microsoft отозвала сертификаты для затронутых файлов и приостановила действие учетных записей продавцов партнеров, чтобы противостоять угрозам.