Pojawienie się ataku BYOVD (Bring Your Own Vulnerable Driver) uwypukla niepokojącą lukę w legalnych, podpisanych sterownikach. Ta forma wykorzystania luki umożliwia cyberprzestępcom wykonanie kodu na poziomie jądra, uniknięcie wykrycia przez program Microsoft Defender i wdrożenie oprogramowania ransomware. Aby zabezpieczyć system, konieczne jest wdrożenie środków ochronnych opisanych w tym przewodniku.
Zrozumienie ataku BYOVD i jego wpływu na program Microsoft Defender
Atak BYOVD wykorzystuje przede wszystkim sterownik rwdrv.sys, który, choć zazwyczaj powiązany z legalnymi aplikacjami, takimi jak Throttlestop czy różnego rodzaju oprogramowanie do sterowania wentylatorami, może zostać zmanipulowany w celu uzyskania nieautoryzowanego dostępu do jądra. Oto opis procesu ataku:
- Napastnicy dostają się do komputera docelowego, często poprzez włamanie się do sieci lub wykorzystując trojany umożliwiające zdalny dostęp (RAT).
- Po uzyskaniu dostępu instalują zaufany sterownik rwdrv.sys.
- Sterownik ten jest wykorzystywany do uzyskania wyższych uprawnień, co umożliwia instalację złośliwego sterownika hlpdrv.sys.
- Sterownik hlpdrv.sys zmienia następnie ustawienia rejestru systemu Windows, skutecznie wyłączając funkcje ochronne programu Microsoft Defender.
- Po ominięciu tych zabezpieczeń atakujący mogą swobodnie instalować oprogramowanie wymuszające okup lub podejmować inne złośliwe działania.
Obecnie ransomware Akira jest powiązany z tymi atakami. Jednak z powodu nieskuteczności programu Microsoft Defender atakujący mogą wykonywać szeroką gamę złośliwych operacji. Należy zachować czujność, stosując się do poniższych środków zapobiegawczych.
Ulepszanie funkcji zabezpieczeń systemu Windows
System Windows zawiera funkcje zabezpieczeń, które mogą udaremnić takie ataki, nawet gdy program Microsoft Defender jest naruszony. Aby wzmocnić swoją obronę, wyszukaj „Zabezpieczenia systemu Windows” w menu Start i aktywuj następujące opcje zabezpieczeń, które mogą być domyślnie wyłączone:
- Kontrolowany dostęp do folderów: Ta funkcja chroni przed zagrożeniami typu ransomware, nawet gdy program Defender jest offline. Przejdź do sekcji Ochrona przed wirusami i zagrożeniami → Zarządzanie ustawieniami → Zarządzanie kontrolowanym dostępem do folderów i przełącz opcję, aby ją włączyć. Możesz również wskazać konkretne foldery, aby zapewnić dodatkową ochronę przed atakami typu ransomware.
- Funkcje izolacji rdzenia: Włączenie tych funkcji może zapobiec instalacji podatnych na ataki sterowników i zablokować wykonywanie szkodliwego kodu. Aktywowanie tych ustawień może znacznie zwiększyć bezpieczeństwo systemu, potencjalnie zatrzymując ataki BYOVD, zanim zdążą one przeniknąć do systemu. Przejdź do sekcji „Bezpieczeństwo urządzeń” i uzyskaj dostęp do szczegółów izolacji rdzenia. Zaleca się włączenie wszystkich funkcji w tym miejscu; należy jednak pamiętać, że aktywacja integralności pamięci może wymagać dodatkowych modyfikacji sterowników.
Usuwanie niepotrzebnych narzędzi na poziomie jądra
Zaleca się ostrożność podczas korzystania z narzędzi działających na poziomie jądra, ponieważ wiele z nich wykorzystuje sterownik rwdrv.sys. Obecność tego sterownika w systemie ułatwia atakującym zadanie, ponieważ nie muszą instalować dodatkowej kopii. Te zainstalowane sterowniki były wykorzystywane w niedawnych atakach. Jeśli nie potrzebujesz tych narzędzi, rozważ zaprzestanie ich używania, szczególnie takich jak Throttlestop lub RWEverything, które instalują rwdrv.sys.
Aby sprawdzić, czy plik rwdrv.sys jest zainstalowany, wpisz „cmd” w wyszukiwarce systemu Windows, kliknij prawym przyciskiem myszy Wiersz polecenia i wybierz opcję Uruchom jako administrator. Wykonaj polecenie where /r C:\ rwdrv.sys, aby przeprowadzić skanowanie. Jeśli wynik wskazuje na obecność pliku rwdrv.sys, zidentyfikuj i odinstaluj aplikację odpowiedzialną za jego instalację.
Korzystanie ze standardowych kont użytkowników do codziennych operacji
Aby zapewnić optymalną ochronę przed zagrożeniami takimi jak BYOVD, zaleca się korzystanie ze standardowego konta do codziennych czynności, a nie konta administratora. Ta strategia jest szczególnie istotna, ponieważ atak wykorzystuje uprawnienia administratora do instalowania lub wykorzystywania podatnych na ataki sterowników.
Działając na standardowym koncie, hakerzy będą mieli trudności z wprowadzeniem zaawansowanych zmian w systemie, uniemożliwiając atak. W przypadku próby włamania otrzymasz powiadomienie o podjętym działaniu. Aby utworzyć nowe konto standardowe, przejdź do Ustawień systemu Windows, wybierz Konta → Inni użytkownicy → Dodaj konto i postępuj zgodnie z instrukcjami, aby skonfigurować nowe konto ze standardowymi uprawnieniami.
Eksploracja alternatywnych rozwiązań antywirusowych
Ten konkretny atak został zaprojektowany w celu wyłączenia zabezpieczeń programu Microsoft Defender, jednak jest mniej skuteczny w przypadku rozwiązań antywirusowych innych firm. Aplikacje te wykorzystują zróżnicowane metody zarządzania funkcjami ochronnymi, co utrudnia skuteczne przeprowadzenie ataków takich jak BYOVD.
Aby zwiększyć swoje bezpieczeństwo, rozważ zainstalowanie sprawdzonego, bezpłatnego programu antywirusowego z funkcją skanowania w czasie rzeczywistym, np.Avast lub AVG Antivirus.
Badacze bezpieczeństwa z organizacji takich jak GuidePoint i Kaspersky prześledzili już wykorzystanie pliku rwdrv.sys w atakach typu BYOVD z wykorzystaniem ransomware Akira i opublikowali wskaźniki zagrożenia (IoC).Mamy nadzieję na przyszłe rozwiązania firmy Microsoft, które zaradzą tej luce w zabezpieczeniach, jednak należy zachować proaktywność, aktywując wszystkie dostępne funkcje zabezpieczeń systemu Windows, a w szczególności zaawansowane funkcje programu Microsoft Defender.
Powiązane artykuły:
Zagrożenia bezpieczeństwa związane z recyklingiem numerów telefonów i jak się przed nimi chronić
20:48
Chroń się przed atakami DOM-Clickjacking: Przyjrzyjmy się najbardziej podatnym na ataki menedżerom haseł
21:29
Dlaczego Wiersz poleceń jest najlepszym menedżerem pobierania dla systemu Windows
19:07
Dodaj komentarz