СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
16.03.2025
#ИБ

Злоумышленники отключают системы безопасности для скрытных атак

Злоумышленники отключают системы безопасности для скрытных атак

Источник: www.picussecurity.com

Современные киберугрозы становятся все более сложными, и злоумышленники все чаще прибегают к методам отключения средств безопасности для достижения своих целей. В недавнем отчете подробно описываются инциденты, связанные с отключением защитника Windows и других защитных технологий, что позволяет злонамеренным программам действовать более скрытно.

Пример атаки: программа-вымогатель INC

В мае 2024 года программа-вымогатель INC использовала встроенную утилиту Windows под названием SystemSettingsAdminFlows.exe для отключения защитника Windows. Этот шаг является крайне опасным, поскольку защитник Windows играет ключевую роль в защите систем от вредоносных программ и других угроз. Используя взломанную учетную запись пользователя, злоумышленники изменили разделы реестра, связанные с защитником Windows. Данные действия можно было отслеживать с помощью идентификатора события Windows 5007.

Другие ключевые инциденты

Кроме вышеупомянутого случая, злоумышленники также применяли различные методы для обхода защиты:

  • Вредоносная программа WhisperGate добавила свой каталог в список исключений Защитника Windows, что позволило ей уклоняться от сканирования.
  • Группа программ-вымогателей BlackCat использовала инструмент ToggleDefender для отключения защитника Windows и SmartScreen, открывая системы для дальнейших атак.

Обход защиты AMSI

Также злоумышленники стали использовать интерфейс проверки на наличие вредоносных программ (AMSI), необходимый для взаимодействия приложений с продуктами защиты. В сентябре 2024 года был зафиксирован случай использования скрипта PowerShell amsi_patch.ps1 для отключения AMSI. В результате хакеры смогли запустить ряд вредоносных программ, включая бэкдоры K4Spreader и Tsunami, а также криптоминеры XMRig.

Уязвимости в антивирусных решениях

Неудивительно, что злоумышленники стремятся отключать и антивирусные решения. В январе 2024 года вымогатели Kasseika использовали метод Bring Your Own Vulnerable Driver (BYOVD), чтобы эксплуатировать подписанный драйвер viragt64.sys с целью отключения антивирусного ПО. После успешного обхода защиты, злоумышленники развернули вредоносное ПО и завершили все активные процессы антивируса.

Целевые решения для обнаружения и реагирования

Киберпреступники также нацеливаются на решения для обнаружения конечных точек и реагирования на них (EDR). В сентябре 2024 года программа-вымогатель RansomHub использовала инструмент EDRKillShifter, который отключал EDR и антивирусные системы. Эта вредоносная программа использовала известные уязвимые драйверы для обхода мониторинга безопасности, что позволяло хакерам действовать с минимальным риском обнаружения.

Таким образом, текущие методы злонамеренных действий подчеркивают необходимость постоянного обновления и улучшения средств кибербезопасности, чтобы защититься от все более изощренных угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: