Киберпреступники обходят системы безопасности, используя уязвимость в драйвере Windows AFD.sys, который является стандартной частью системы и работает с сетевым протоколом Winsock.
Хакеры повышают свои привилегии в системе и устанавливают руткит FUDModule, который отключает стандартные функции мониторинга и скрывает вредоносную активность.
Уязвимость была обнаружена экспертами из западной ИБ-компании Gen Digital. Особую опасность представляет тот факт, что атака не требует установки дополнительных компонентов: злоумышленники группировки Lazarus используют уже встроенный в систему драйвер, что делает их действия менее заметными для защитных систем.
Руководитель Лаборатории стратегического развития продуктов кибербезопасности Аналитического центра кибербезопасности «Газинформсервис» Дмитрий Овчинников говорит, что киберпреступники постоянно совершенствуют свои методы и техники проникновения в защищаемый контур. «При этом, атаки могут не детектироваться средствами антивирусной защиты или SIEM, так как внедрение вредоносного кода идет путем подмены легитимных драйверов. Такой тип атак называется Bring Your Own Vulnerable Driver (BYOVD) Attack. С подобным методом атаки отлично справляются средства защиты информации класса UEBA, например Ankey ASAP, который анализирует поведение пользователей используя ИИ и замечает аномалии в поведении сетевых узлов и пользователей. Продукт с модулем UEBA является надстройкой над SIEM и EPP и позволяет выявлять те атаки и аномалии, которые еще не стали трендом, а встроенная система скоринга, основанная на экспертизе специалистов по ИБ, позволяет быстро приоритезировать выявленные инциденты», – подытожил киберэксперт.
Еще больше об информационной безопасности вы сможете узнать из онлайн трансляции форума GIS DAYS*, который компания «Газинформсервис» проведет 3-4 октября.
*Дни глобальной информационной безопасности.
