Новая BYOVD-атака может обойти Microsoft Defender и установить Ransomware, но есть защита

Новая атака BYOVD (Bring Your Own Vulnerable Driver) использует легитимный, подписанный драйвер, содержащий уязвимость. Это позволяет злоумышленникам выполнить код на уровне ядра, обойти Microsoft Defender и установить программу-вымогатель. Чтобы не стать жертвой, соблюдайте меры защиты, приведенные в этом руководстве.

Как атака BYOVD обходит защиту Microsoft Defender

Атака BYOVD использует драйвер rwdrv.sys для получения доступа на уровне ядра, а затем устанавливает вредоносный драйвер hlpdrv.sys для отключения защиты Microsoft Defender из реестра. Драйвер rwdrv.sys обычно устанавливается и используется приложениями-оптимизаторами, такими как Throttlestop, или некоторыми приложениями для управления вентиляторами. Это легальный драйвер, но он может быть использован для получения доступа на уровне ядра. Вот как работает атака:

  • Хакеры получают доступ к компьютеру. Обычно путем компрометации сети, но это можно сделать и с помощью троянов удаленного доступа (RAT).
  • Они устанавливают драйвер rwdrv.sys, которому Windows доверяет по умолчанию.
  • Используя драйвер rwdrv.sys, они получают привилегии ядра, чтобы установить вредоносный драйвер hlpdrv.sys.
  • hlpdrv.sys редактирует значения реестра Windows, чтобы отключить защиту Microsoft Defender.
  • Отключив защиту, злоумышленник устанавливает программу-вымогатель или запускает другие вредоносные инструменты.

Пока что, Akira ransomware связана с этими атаками, но если защита не работает, злоумышленники могут делать все, что захотят. Следуйте приведенным ниже мерам защиты, чтобы оставаться в безопасности:

Интересно: В сети появился дешифратор вымогательского ПО Akira

Включите функции безопасности Windows

Существуют функции безопасности Windows, которые могут предотвратить подобные атаки или даже защитить, когда защита Microsoft Defender не работает. Найдите в поиске Windows Security, откройте приложение Windows Security и включите следующие функции безопасности, которые по умолчанию отключены.

  • Controlled Folder Access: эта функция – защита от вымогательства, которая будет противостоять атакам даже при отключенном защитнике Defender. Перейдите в раздел Вирусы & Защита от угрозУправление настройкамиУправление контролируемым доступом к папкам и включите тумблер Контролируемый доступ к папкам. После этого вы сможете добавить защищенные папки, которые будут противостоять атакам вымогателей.
  • Основные функции изоляции: Основные функции изоляции могут предотвратить установку уязвимых драйверов и выполнение вредоносного кода. Если все эти функции включены, это значительно повышает безопасность, и BYOVD может даже не попасть в систему. Перейдите в раздел Безопасность устройства и откройте Подробности изоляции ядра. Здесь следует включить все функции, но для включения Memory Integrity может потребоваться управление драйверами.

Удалите утилиты уровня ядра, если они не нужны

Многие утилиты, работающие на уровне ядра, используют драйвер rwdrv.sys. Если этот уязвимый драйвер уже присутствует, это может значительно облегчить работу хакеров, поскольку им не придется устанавливать собственную копию. Более того, недавние атаки использовали уже установленный драйвер. Если в этом нет необходимости, не используйте утилиты, устанавливающие rwdrv.sys, например Throttlestop или RWEverything.

Чтобы проверить, установлен ли у вас rwdrv.sys, найдите cmd в «Поиске Windows», щелкните правой кнопкой мыши на Командная строка и выберите Запуск от имени администратора. Запустите команду where /r C:\ rwdrv.sys и запустите сканирование. Если драйвер rwdrv.sys найден, необходимо найти приложение, которое его установило, и удалить его.

Используйте стандартный аккаунт для повседневного использования

Для наилучшей защиты мы всегда рекомендуем не использовать учетную запись администратора и полагаться на стандартную учетную запись для повседневного использования. Против BYOVD это особенно важно. Эта атака в значительной степени зависит от прав администратора для установки уязвимого драйвера или его использования.

Со стандартной учетной записью хакеры не смогут внести какие-либо изменения на ПК с повышенными правами, поэтому атака будет остановлена в самом начале. Если же они попытаются это сделать, вы получите уведомление об этом. Чтобы создать новую стандартную учетную запись, откройте Настройки Windows и перейдите в раздел Учетные записиДругие пользователиДобавить учетную запись. Следуйте инструкциям, чтобы создать новую учетную запись и установить ее как Стандартную.

Интересно: Краткая история операционных систем

Используйте другое антивирусное программное обеспечение

Эта атака содержит инструкции по отключению защитных экранов Microsoft Defender; те же инструкции не работают для других сторонних антивирусных программ. Сторонние антивирусные программы используют различные методы управления функциями включения/выключения щита, поэтому такие атаки не могут использовать универсальную инструкцию.

Просто установите любую бесплатную антивирусную программу со сканированием в реальном времени, чтобы оставаться в безопасности, например Avast или AVG Antivirus.

Исследователи безопасности (GuidePoint, Kaspersky и другие) уже отследили, что вымогатель Akira использует rwdrv.sys в BYOVD-атаках, и опубликовали IoCs. Остается надеяться, что в ближайшем будущем Microsoft что-нибудь предпримет против этой угрозы. На всякий случай включите все функции безопасности Windows, особенно расширенные функции Microsoft Defender.

Зарубин Иван Эксперт по Linux и Windows

Парашютист со стажем. Много читаю и слушаю подкасты. Люблю посиделки у костра, песни под гитару и приближающиеся дедлайны. Люблю путешествовать.

Похожие статьи
Американец подал в суд на Microsoft, чтобы Windows 10 работала до тех пор, пока ее использование не упадет ниже 10%
Как установить AutoHotkey с помощью WinGet в Windows 11 или 10
Что такое энергоэффективная настройка Ethernet? Следует ли включать или отключать его

Комментарии (0)