Заплахи

Криптовирусът RobbinHood "лъже" Windows и той премахва защитата

Владимир Владков

Sophos публикува свое проучване за нов тип атака с криптовирус, при която киберпрестъпниците внедряват законни, цифрово подписани хардуерни драйвери, за да изтрият продуктите за сигурност от атакуваните системи, преди да започнат същинската си дейност и да криптират данни на потребителя на системата.

Криптовирусът RobbinHood се възползва от става уязвимост (наречена CVE-2018-19320), която съществува в остарял вече драйвер, създаден от тайванската фирма Gigabyte, който обаче все още е валиден и без премахнат подпис Verisign Authenticode, но все още се използва от мнозина, въпреки че е спрян от производителя.

Провереният и подписан драйвер се използва като "клин", който уж "закърпва" ядрото на Windows, но зарежда неподписан и зловреден драйвер, а след това изключва защитаващите системата приложения за сигурност.

Според изследователите от Sophos, те за първи път виждат подобен вектор на атака, въпреки че опитите на криптовирусите да заобиколят продуктите за сигурност не са нови. Но спирането на процесите директно в режим "ядро" (kernel) вместо в потребителски режим, е много по-опасно.

Важното е, че зловредният драйвер съдържа само зловредния код и нищо друго, което означава, че дори ако на атакувания компютър работи напълно закърпена система Windows без известни уязвимости, нападателите все още са в състояние да унищожат защитните мерки като предшественик на действителната атака с криптовирус.

Марк Ломан, директор на инженеринг отдела в Sophos, заяви, че анализът на RobbinHood показва колко бързо и опасно се развива заплахата. "За първи път виждаме криптовирус да бъде внедрен в легитимно подписан, макар и уязвим, драйвер на трета страна, който да поеме контрола върху дадено устройство и да го използва за деактивиране на инсталирания софтуер за сигурност, заобикаляйки функциите, специално създадени за предотвратяване на такова подправяне. "Убиването" на защитата дава свобода на зловредния софтуер да инсталира и да задейства необезпокоявано криптовируса", каза той.

Софос са отрили няколко белега, които посочват, че авторите на зловредния драйвер са от групата, стояща зад RobbinHood, щам от криптовирус, който предизвика хаос и взе много жертви през 2019 г., по-специално в град Балтимор в Мериленд, където всички системи на служителите на местната власт бяха заключени за повече от две седмици.

Ломан очерта няколко стъпки, които потребителите могат да предприемат, за да се защитят от RobbinHood. "Препоръчваме тристепенен подход. Първо, днешните атаки с криптовирус използват множество техники и тактики, затова защитниците трябва да разгърнат редица технологии, за да прекъснат колкото се може повече етапи от атаката, да интегрират публичния облак в своята стратегия за сигурност и да задействат важна функционалност, включително защита срещу подправяне на датата в своя софтуер за защита на крайните устройства. Ако е възможно, допълнете това с разузнаване на заплахите и професионален екип", каза той.

"Второ, трябва да прилагате стабилни практики за защита като многофакторна автентификация, сложни пароли, ограничени права за достъп, редовно закърпване и резервно копиране на данните и заключване на уязвимите услуги за отдалечен достъп. Не на последно място, инвестирайте и продължавайте да инвестирате в обучение за сигурност на служителите си."

Подробности за това как работи криптовирусът RobbinHood и за индикаторите, показващи заразяване, са налични в блога на Sophos.

Снимка: Sophos





© Ай Си Ти Медиа ЕООД 1997-2020 съгласно Общи условия за ползване

X