هکرها راهی برای حمله پیدا کرده اند که هرگز انتظارش را ندارید

یک نقص امنیتی به یک گروه باج‌افزار اجازه می‌دهد تا به طور مؤثری از عملکرد صحیح برنامه‌های آنتی‌ویروس روی یک سیستم جلوگیری کند.

همانطور که توسط Bleeping Computer گزارش شده است، گروه باج افزار BlackByte از یک روش جدید کشف شده مربوط به درایور RTCore64.sys برای دور زدن بیش از 1000 درایور قانونی استفاده کرد.

در نتیجه، برنامه‌های امنیتی که به چنین درایورهایی متکی هستند، قادر به تشخیص نقض نیستند، این تکنیک توسط محققان برچسب “درایور خود را بیاورید”.

هنگامی که رانندگان توسط هکرها غیرفعال می شوند، به دلیل عدم وجود تشخیص و پاسخ چندگانه نقطه پایانی (EDR) می توانند تحت رادار کار کنند. درایورهای آسیب‌پذیر می‌توانند تأیید را از طریق یک گواهی معتبر انجام دهند و همچنین از امتیازات بالاتری در خود رایانه برخوردار هستند.

محققان شرکت امنیت سایبری Sophos توضیح دادند که چگونه درایور گرافیک MSI مورد هدف باج‌افزار کدهای کنترل ورودی/خروجی را ارائه می‌دهد که می‌توان با فرآیندهای حالت کاربر به آنها دسترسی پیدا کرد. با این حال، این مورد دستورالعمل های امنیتی مایکروسافت در مورد دسترسی به حافظه هسته را نقض می کند.

به لطف بهره برداری، عوامل تهدید می توانند آزادانه کد را در حافظه هسته سیستم بخوانند، بنویسند یا اجرا کنند.

به گفته سوفوس، بلک‌بایت به طور طبیعی به دنبال جلوگیری از شناسایی است تا هک‌های آن توسط محققان مورد تجزیه و تحلیل قرار نگیرند.

علاوه بر این، بدافزار این گروه، سیستم را برای هر گونه فایل‌های DLL مرتبط با Avast، Sandboxie، Windows DbgHelp Library و Comodo Internet Security اسکن می‌کند. اگر با جستجو یکی از آنها پیدا شود، بلک‌بایت عملکرد آن را غیرفعال می‌کند.

با توجه به ماهیت پیچیده تکنیک مورد استفاده توسط تهدیدها، Sophos هشدار داد که آنها به سوء استفاده از رانندگان قانونی برای دور زدن محصولات امنیتی ادامه خواهند داد. روش Bring Your Own Driver قبلا توسط گروه هکر کره شمالی Lazarus که شامل یک درایور سخت افزاری Dell بود، استفاده می شد.

Bleeping Computer نشان می دهد که چگونه مدیران سیستم می توانند از رایانه های خود با قرار دادن درایور MSI (RTCore64.sys) که در یک لیست مسدود فعال هدف قرار می گیرد محافظت کنند.

تلاش‌های باج‌افزار بلک‌بایت برای اولین بار در سال 2021 آشکار شد و اف‌بی‌آی تاکید کرد که این گروه هکر در پشت حملات سایبری خاصی علیه دولت بوده است.

توصیه های سردبیران