Исследование ESET «Принеси свой собственный уязвимый драйвер» подробно описывает атаки на драйверы в ядре Windows.
БРАТИСЛАВА, ПРАГА — 11 января 2022 г. — ESET Research опубликовала подробный пост в блоге, в котором подробно рассматривается злоупотребление уязвимыми драйверами ядра. Уязвимости в подписанных драйверах в основном используются разработчиками игровых читов для обхода механизмов защиты от читов, но также было замечено, что они используются несколькими APT-группами и в обычных вредоносных программах. В сообщении блога обсуждаются типы уязвимостей, которые обычно встречаются в драйверах ядра, приводится несколько тематических исследований вредоносных программ, использующих такие уязвимые драйверы, анализируются примеры уязвимых драйверов, обнаруженных в ходе нашего исследования, и описываются эффективные методы смягчения последствий такого типа эксплуатации. Эти драйверы часто могут стать незащищенными шлюзами к ядру Windows для злоумышленников.
РЕКОМЕНДУЕМЫЕ ПРОДУКТЫ: ESET NOD32 Business Edition Решение ESET NOD32 Business Edition разработано для сетей крупных и средних организаций. Решение обеспечивает обнаружение и блокирование вирусов, троянских программ, червей, шпионских программ, рекламного ПО, фишинг-атак, руткитов и других интернет-угроз, представляющих опасность для компаний.Подробнее>> ESET NOD32 Smart Security Business Edition ESET NOD32 Smart Security Business Edition – комплексное бизнес-решение для оперативного детектирования всех типов угроз за счет сочетания интеллектуальных облачных технологий и запатентованного метода эвристического анализа.Подробнее>> ESET NOD32 Small Business Pack ESET NOD32 Small Business Pack – специальное антивирусное решение для небольшой компьютерной сети, обеспечивающее надежную защиту от вредоносных программ и интернет-угроз без лишних затрат.Подробнее>>
- Подробный пост в блоге содержит подробный обзор уязвимостей в драйверах ядра (центрального компонента операционной системы Windows).
- Уязвимости в подписанных драйверах в основном используются разработчиками игровых читов для обхода механизмов защиты от читов, но они также использовались несколькими APT-группами и в обычных вредоносных программах.
- Доставка уязвимого подписанного драйвера ядра является популярным вариантом для злоумышленников — этот метод называется «Принеси свой собственный уязвимый драйвер» (BYOVD).
- Эта техника использовалась APT-группами Slingshot и InvisiMole, семейством программ-вымогателей RobbinHood и LoJax, первым в мире руткитом UEFI, используемым в дикой природе.
- Исследователи ESET обнаружили уязвимости в трех драйверах.
- В блоге подробно описаны методы смягчения последствий.
Среди различных типов драйверов ядра (центрального компонента операционной системы Windows) есть «программные» драйверы, которые обеспечивают определенные, не связанные с оборудованием функции, такие как отладка и диагностика программного обеспечения, системный анализ и т. д. Они склонны расширять поверхность атаки. существенно. Хотя прямая загрузка вредоносного неподписанного драйвера больше невозможна в более новых версиях Windows, а руткиты ядра считаются делом прошлого, все еще существуют способы загрузки вредоносного кода в ядро, особенно путем злоупотребления законными, подписанными водители. Действительно, существует множество драйверов от различных производителей аппаратного и программного обеспечения, которые предлагают функциональные возможности для полного доступа к ядру с минимальными усилиями.
Уязвимости, наиболее часто наблюдаемые в драйверах ядра, включают:
- сбои в добавлении проверок, ограничивающих доступ для чтения и записи к критическим регистрам модели (MSR);
- предоставление возможности отображать физическую память из пользовательского режима для чтения и записи; и
- раскрытие возможности доступа к виртуальной памяти ядра из пользовательского режима для чтения и записи.
«Когда вредоносным программам необходимо запустить вредоносный код в ядре Windows на системах x64 с принудительной подписью драйверов, наличие уязвимого подписанного драйвера ядра кажется приемлемым вариантом для этого. Этот метод известен как Bring Your Own Vulnerable Driver, сокращенно BYOVD, и было замечено, что он используется в дикой природе как высококлассными злоумышленниками APT, так и в массовом вредоносном ПО», — объясняет Питер Калнай, один из соисследователей этого исследования.
Примеры злоумышленников, использующих методику BYOVD, включают APT-группу Slingshot, которая реализовала свой основной модуль под названием Cahnadr в виде драйвера режима ядра, который может быть загружен уязвимыми подписанными драйверами ядра. Другим примером является группа InvisiMole APT, которая была обнаружена исследователями ESET в 2018 году. Более новый вариант вредоносного ПО InvisiMole — единственный на сегодняшний день случай, когда ESET наблюдала использование MSR в системах Windows 10 x64, используемых в дикой природе вредоносным ПО. актер.
Еще одним примером является программа-вымогатель RobbinHood, которая, как обычное вредоносное ПО, стремится охватить как можно больше людей. Таким образом, видеть, как он использует технику BYOVD, редко, но мощно. Эта программа-вымогатель использует уязвимый драйвер материнской платы GIGABYTE, чтобы отключить проверку подписи драйверов и установить собственный вредоносный драйвер. Наконец, LoJax, еще одно открытие ESET в 2018 году и первый в истории руткит UEFI, используемый в дикой природе, использовал драйвер RWEverything для получения доступа к модулям UEFI жертв.
Исследователи ESET не только каталогизировали существующие уязвимости, но и искали новые — полный список обнаруженных уязвимостей можно найти в опубликованном подробном блоге. Поставщики, с которыми связалась ESET, проявили большую активность в процессе раскрытия информации и стремились исправить обнаруженные уязвимости.
«Хотя центральный процессор и/или операционная система используют несколько механизмов, большинство из них можно обойти с помощью некоторых хитрых приемов, и они не очень эффективны, если злоумышленник подготовится к ним заранее», — говорит Калнаи.
Блог предлагает следующие полезные методы смягчения последствий:
- Безопасность на основе виртуализации : эта функция, представленная в Windows 10, использует аппаратную виртуализацию для помещения ядра в изолированную программную среду, тем самым защищая операционную систему с помощью различных средств защиты.
- Отзыв сертификата . В современных системах Windows драйверы должны иметь действительную подпись на основе «приемлемого» сертификата. Следовательно, отзыв сертификата уязвимого драйвера был бы простым способом «разоружить» его и сделать бесполезным в большинстве случаев.
- Блокирование драйверов : это практика, принятая как Microsoft, так и различными сторонними поставщиками продуктов для обеспечения безопасности, включая ESET, для обнаружения и удаления наиболее известных уязвимых драйверов, обнаруженных в системе. Дополнительные технические сведения об уязвимых подписанных драйверах ядра см. в блоге « Подписанные драйверы ядра — незащищенный вход в ядро Windows » на сайте WeLiveSecurity.
Интернет Контроль Сервер – это российская разработка, которая подходит под программу импортозамещения и готова выступить заменой зарубежных решений класса NGFW и UTM.
ГК «Астра» и компания OCS Distribution завершили тестирование совместимости ОС Astra Linux и компьютеров Nerpa. После серии двусторонних проверок специалисты убедились, что программно-аппаратные стеки полностью работоспособны. Astra Linux Special Edition корректно устанавливается на обе рабочие станции, и функционал совместных решений, включая возможность использовать встроенные в ОС СЗИ, доступен в полном объеме. В итоге ПК Nerpa Ladoga и Nerpa Baltic получили сертификаты, официально подтверждающие совместимость продуктов.
МойОфис, российская компания-разработчик офисного программного обеспечения для совместной работы с документами и коммуникаций, и InfoWatch, ведущий российский разработчик решений для обеспечения информационной безопасности организаций, объявляют о совместимости «МойОфис Почта» и DLP-системы InfoWatch Traffic Monitor.
По данным опроса «Лаборатории Касперского»*, более чем в трети (38%) промышленных предприятий по всему миру нет специалиста, отвечающего за вопросы охраны окружающей среды, здоровья и безопасности.
Autodesk имеет уникальные возможности для стратегического партнерства с нашими клиентами AEC в государственном и частном секторах, позволяя им начать новую эру инфраструктуры.
Независимая сертификация безопасности для Red Hat Enterprise Linux 8.2 помогает расширить ведущую в мире платформу Enterprise Linux в качестве надежной основы для вычислений в открытом гибридном облаке, от традиционных до облачных рабочих нагрузок.
Согласно недавнему глобальному опросу, проведенному Sapio Research от имени ABBYY 98% лиц , принимающих решения в области ИТ, внедрили технологии автоматизации за последние два года, вызванные пандемией. За это время произошел поведенческий сдвиг в том, как лица, принимающие решения в области ИТ, внедряют технологии автоматизации с новым подходом "люди прежде всего". Результаты показывают меньшие инвестиции в роботизированную автоматизацию процессов (RPA), при этом интеллектуальная обработка документов (IDP) и технологии автоматизации процессов являются двумя основными внедренными технологиями. Это привело к тому, что 89% опрошенных считают, что им удалось успешно внедрить автоматизацию с цифровым преобразованием, по сравнению с 30%-50% в прошлом, когда они использовали только RPA.
Kasten by Veeam предлагает Software AG упрощенное резервное копирование и аварийное восстановление Kubernetes для поддержки больших объемов данных и приложений для удовлетворения потребностей растущего числа глобальных облачных клиентов.
РЕКОМЕНДУЕМЫЕ ПРОДУКТЫ:
Ваши контактные данные не публикуются на сайте.