Хакеры стали отключать антивирус, чтобы скрыть кибератаку

Новую кибергруппировку, отключающую защитные решения при атаках на организации, выявили в РФ. Данный тренд все чаще встречается при расследовании инцидентов, заявили "Известиям" специалисты центра исследования киберугроз Solar 4RAYS ГК "Солар".

Например, при атаке на промышленную компанию злоумышленники применили способ, позволяющий отключить решение любого вендора.

Во время расследования было установлено, что злоумышленники проникли в корпоративную сеть через уязвимость в ПО DameWare Mini Remote Control, применяемое для удаленного управления компьютером. Выяснилось, что со времен пандемии коронавируса для отдельных систем в инфраструктуре порт DameWare так и остался доступен из внешней сети.

После этого киберпреступники разместили вредоносный файл в директории агента администрирования антивирусного решения и отключили антивирус "Лаборатории Касперского". Специалисты Solar 4RAYS заявили вендору об обнаруженной механике, в результате чего "Лаборатория Касперского" быстро доработала инструменты самозащиты продуктов и выпустила соответствующие обновления.

Одной из функций вредоноса являлось отключение MiniFilter – технологии фильтрации файловой системы в Windows. Компоненты безопасности многих защитных решений применяют MiniFilter для сбора данных об операциях в файловой системе, обнаружения необычного поведения, контроля за приложениями и анализа потенциальных угроз.

Во время такой атаки вредоносный драйвер создает и регистрирует свой MiniFilter, находит смещение callback-функции MiniFilter защитного решения и заменяет их фиктивной функцией-заглушкой, таким образом блокируя антивирусу возможность мониторинга. Затем злоумышленники способны загружать любой вредоносный софт на систему, не боясь обнаружения базовыми средствами защиты.