Исследование ESET «Принеси свой собственный уязвимый драйвер» подробно описывает атаки на драйверы в ядре Windows.
БРАТИСЛАВА, ПРАГА — 11 января 2022 г. — ESET Research опубликовала подробный пост в блоге, в котором подробно рассматривается злоупотребление уязвимыми драйверами ядра. Уязвимости в подписанных драйверах в основном используются разработчиками игровых читов для обхода механизмов защиты от читов, но также было замечено, что они используются несколькими APT-группами и в обычных вредоносных программах. В сообщении блога обсуждаются типы уязвимостей, которые обычно встречаются в драйверах ядра, приводится несколько тематических исследований вредоносных программ, использующих такие уязвимые драйверы, анализируются примеры уязвимых драйверов, обнаруженных в ходе нашего исследования, и описываются эффективные методы смягчения последствий такого типа эксплуатации. Эти драйверы часто могут стать незащищенными шлюзами к ядру Windows для злоумышленников.
- Подробный пост в блоге содержит подробный обзор уязвимостей в драйверах ядра (центрального компонента операционной системы Windows).
- Уязвимости в подписанных драйверах в основном используются разработчиками игровых читов для обхода механизмов защиты от читов, но они также использовались несколькими APT-группами и в обычных вредоносных программах.
- Доставка уязвимого подписанного драйвера ядра является популярным вариантом для злоумышленников — этот метод называется «Принеси свой собственный уязвимый драйвер» (BYOVD).
- Эта техника использовалась APT-группами Slingshot и InvisiMole, семейством программ-вымогателей RobbinHood и LoJax, первым в мире руткитом UEFI, используемым в дикой природе.
- Исследователи ESET обнаружили уязвимости в трех драйверах.
- В блоге подробно описаны методы смягчения последствий.
Среди различных типов драйверов ядра (центрального компонента операционной системы Windows) есть «программные» драйверы, которые обеспечивают определенные, не связанные с оборудованием функции, такие как отладка и диагностика программного обеспечения, системный анализ и т. д. Они склонны расширять поверхность атаки. существенно. Хотя прямая загрузка вредоносного неподписанного драйвера больше невозможна в более новых версиях Windows, а руткиты ядра считаются делом прошлого, все еще существуют способы загрузки вредоносного кода в ядро, особенно путем злоупотребления законными, подписанными водители. Действительно, существует множество драйверов от различных производителей аппаратного и программного обеспечения, которые предлагают функциональные возможности для полного доступа к ядру с минимальными усилиями.
Уязвимости, наиболее часто наблюдаемые в драйверах ядра, включают:
- сбои в добавлении проверок, ограничивающих доступ для чтения и записи к критическим регистрам модели (MSR);
- предоставление возможности отображать физическую память из пользовательского режима для чтения и записи; и
- раскрытие возможности доступа к виртуальной памяти ядра из пользовательского режима для чтения и записи.
«Когда вредоносным программам необходимо запустить вредоносный код в ядре Windows на системах x64 с принудительной подписью драйверов, наличие уязвимого подписанного драйвера ядра кажется приемлемым вариантом для этого. Этот метод известен как Bring Your Own Vulnerable Driver, сокращенно BYOVD, и было замечено, что он используется в дикой природе как высококлассными злоумышленниками APT, так и в массовом вредоносном ПО», — объясняет Питер Калнай, один из соисследователей этого исследования.
Примеры злоумышленников, использующих методику BYOVD, включают APT-группу Slingshot, которая реализовала свой основной модуль под названием Cahnadr в виде драйвера режима ядра, который может быть загружен уязвимыми подписанными драйверами ядра. Другим примером является группа InvisiMole APT, которая была обнаружена исследователями ESET в 2018 году. Более новый вариант вредоносного ПО InvisiMole — единственный на сегодняшний день случай, когда ESET наблюдала использование MSR в системах Windows 10 x64, используемых в дикой природе вредоносным ПО. актер.
Еще одним примером является программа-вымогатель RobbinHood, которая, как обычное вредоносное ПО, стремится охватить как можно больше людей. Таким образом, видеть, как он использует технику BYOVD, редко, но мощно. Эта программа-вымогатель использует уязвимый драйвер материнской платы GIGABYTE, чтобы отключить проверку подписи драйверов и установить собственный вредоносный драйвер. Наконец, LoJax, еще одно открытие ESET в 2018 году и первый в истории руткит UEFI, используемый в дикой природе, использовал драйвер RWEverything для получения доступа к модулям UEFI жертв.
Исследователи ESET не только каталогизировали существующие уязвимости, но и искали новые — полный список обнаруженных уязвимостей можно найти в опубликованном подробном блоге. Поставщики, с которыми связалась ESET, проявили большую активность в процессе раскрытия информации и стремились исправить обнаруженные уязвимости.
«Хотя центральный процессор и/или операционная система используют несколько механизмов, большинство из них можно обойти с помощью некоторых хитрых приемов, и они не очень эффективны, если злоумышленник подготовится к ним заранее», — говорит Калнаи.
Блог предлагает следующие полезные методы смягчения последствий:
- Безопасность на основе виртуализации : эта функция, представленная в Windows 10, использует аппаратную виртуализацию для помещения ядра в изолированную программную среду, тем самым защищая операционную систему с помощью различных средств защиты.
- Отзыв сертификата . В современных системах Windows драйверы должны иметь действительную подпись на основе «приемлемого» сертификата. Следовательно, отзыв сертификата уязвимого драйвера был бы простым способом «разоружить» его и сделать бесполезным в большинстве случаев.
- Блокирование драйверов : это практика, принятая как Microsoft, так и различными сторонними поставщиками продуктов для обеспечения безопасности, включая ESET, для обнаружения и удаления наиболее известных уязвимых драйверов, обнаруженных в системе. Дополнительные технические сведения об уязвимых подписанных драйверах ядра см. в блоге « Подписанные драйверы ядра — незащищенный вход в ядро Windows » на сайте WeLiveSecurity.
«МойОфис» представил обновленные версии корпоративных продуктов Squadus 1.7, Squadus PRO 1.7, «МойОфис Частное Облако» 3.2 и «МойОфис Стандартный». Нововведения создают удобное и защищенное пространство для эффективной командной работы. Также, в рамках релиза была значительно расширена функциональность приложений для частных лиц «МойОфис для дома»
Компания «РуБэкап» (входит в «Группу Астра») получила престижную премию FINNEXT на ежегодном форуме финансовых инноваций. Разработчик решения RuBackup признан лидером в специальной номинации «Эффективное импортозамещающее решение для резервного копирования, восстановления и защиты данных для банков»
Компании «Киберпротект» и Orion soft подтвердили взаимную совместимость системы резервного копирования Кибер Бэкап и платформы оркестрации контейнеризированных приложений Nova Container Platform. Вместе решения дают заказчикам инструменты для комплексной защиты данных в контейнерах: не только для гибкого резервного копирования и восстановления информации, но также и для мониторинга и контроля потенциальных уязвимостей
Разработчик ИИ-решений для интеллектуальной обработки информации Content AI и поставщик компьютерного оборудования ПИРИТ договорились о сотрудничестве при продвижении своих продуктов. Компании будут реализовывать сканеры Avision с редактором ContentReader PDF для корпоративных пользователей отечественных операционных систем
В ходе анализа данных телеметрии специалисты вирусной лаборатории «Доктор Веб» выявили образцы вредоносного ПО, которые при ближайшем рассмотрении оказались компонентами активной кампании по майнингу криптовалюты Monero. Эта кампания примечательна тем, что реализована в виде ряда вредоносных цепочек, две из которых построены на запуске скриптов, извлекающих вредоносную нагрузку из файлов изображений в формате BMP
«Лаборатория Касперского» обнаружила вредоносную кампанию, в рамках которой злоумышленники распространяют зловред для ОС Windows под видом приложения на основе нейросетей для изменения голоса
Ваши контактные данные не публикуются на сайте.