Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Trend Micro предупреждает о росте числа атак с использованием подписанных драйверов Windows

23/05/23

Windows hack-May-23-2023-10-54-44-3858-AM

В феврале 2023 года эксперты Trend Micro обнаружили новый случай применения подписанного драйвера в атаке с вымогательским ПО BlackCat. Этот драйвер имел сходство с раскрытыми ранее, и использовался злоумышленниками для обхода защитных механизмов на заражённых компьютерах, пишет Securitylab.

Злоумышленники используют разные способы для подписи своих вредоносных драйверов: обычно они злоупотребляют порталами Microsoft для подписи модулей ядра, а также используют утекшие и украденные сертификаты. Trend Micro продолжает мониторить злоупотребление подписанными драйверами и связанными с ними инструментами, тактиками и процедурами.

«Подписанные драйверы являются частью стратегии злоумышленников по получению привилегированного доступа к операционной системе Windows. Они позволяют скрыть вредоносный код от инструментов безопасности и обойти защиту на уровне пользователей и процессов. Поэтому мы считаем, что такие угрозы не исчезнут из арсенала злоумышленников в ближайшее время», — сообщают исследователи Trend Micro.

«Злоумышленники, вероятно, и дальше будут продолжать использовать руткиты для сокрытия вредоносного кода от инструментов безопасности, нарушения защиты и незаметного пребывания в системе жертвы на протяжении длительного времени», — добавили специалисты.

Подобные руткиты активно применяются группировками киберпреступников, имеющих как навыки реверс-инжиниринга низкоуровневых системных компонентов, так и необходимые ресурсы для его выполнения. Основная опасность, связанная с этими руткитами, заключается в их способности скрывать сложные целевые атаки, которые обычно используются на ранних этапах компрометации, позволяя злоумышленнику нарушить защиту организации до того, как будут запущены финальные полезные нагрузки.

Для организаций компрометация сертификатов представляет не только угрозу безопасности. Она также может привести к потере репутации и доверия к оригинальному подписанному программному обеспечению. Именно поэтому компании должны стремиться всеми силами защищать свои сертификаты, реализуя лучшие практики безопасности для снижения риска несанкционированного доступа.

Применение надёжных паролей и многофакторных методов аутентификации также может помочь защитить сертификаты от кражи или компрометации злоумышленниками. Кроме того, использование отдельных сертификатов для тестовой подписи (для предварительного кода, используемого в тестовых средах) минимизирует шансы того, что действительные сертификаты подписи будут использованы в атаке.

Лишь приняв многоаспектный подход к обеспечению безопасности конечных точек, электронной почты и внутренних сетей, организации смогут эффективно защищаться от вредоносных элементов и подозрительной активности, включающей атаки с вымогательским ПО.

Темы:WindowsУгрозыSophosTrend Microсертификаты безопасностиSentinelOne
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...