Хакеры нашли новый способ обойти системы безопасности

Киберпреступники обходят системы безопасности, используя уязвимость в драйвере Windows AFD.sys, который является стандартной частью системы и работает с сетевым протоколом Winsock.

Хакеры повышают свои привилегии в системе и устанавливают руткит FUDModule, который отключает стандартные функции мониторинга и скрывает вредоносную активность.

Уязвимость была обнаружена экспертами из западной ИБ-компании Gen Digital. Особую опасность представляет тот факт, что атака не требует установки дополнительных компонентов: злоумышленники группировки Lazarus используют уже встроенный в систему драйвер, что делает их действия менее заметными для защитных систем.

Руководитель Лаборатории стратегического развития продуктов кибербезопасности Аналитического центра кибербезопасности «Газинформсервис» Дмитрий Овчинников говорит, что киберпреступники постоянно совершенствуют свои методы и техники проникновения в защищаемый контур. «При этом, атаки могут не детектироваться средствами антивирусной защиты или SIEM, так как внедрение вредоносного кода идет путем подмены легитимных драйверов. ТакойтипатакназываетсяBring Your Own Vulnerable Driver (BYOVD) Attack. С подобным методом атаки отлично справляются средства защиты информации класса UEBA, например Ankey ASAP, который анализирует поведение пользователей используя ИИ и замечает аномалии в поведении сетевых узлов и пользователей. Продукт с модулем UEBA является надстройкой над SIEM и EPP и позволяет выявлять те атаки и аномалии, которые еще не стали трендом, а встроенная система скоринга, основанная на экспертизе специалистов по ИБ, позволяет быстро приоритезировать выявленные инциденты», – подытожил киберэксперт.

Еще больше об информационной безопасности вы сможете узнать из онлайн трансляции форума GIS DAYS*, который компания «Газинформсервис» проведет 3-4 октября.

*Дни глобальной информационной безопасности.