O surgimento do ataque BYOVD (Bring Your Own Vulnerable Driver) destaca uma vulnerabilidade preocupante em drivers legítimos assinados. Essa forma de exploração permite que cibercriminosos executem código no nível do kernel, evitem a detecção do Microsoft Defender e, posteriormente, implantem ransomware. Para proteger seu sistema, é fundamental implementar as medidas de proteção descritas neste guia.
Compreendendo o ataque BYOVD e seu impacto no Microsoft Defender
O ataque BYOVD utiliza principalmente o driver rwdrv.sys, que, embora normalmente associado a aplicativos legítimos, como o Throttlestop ou diversos softwares de controle de ventoinhas, pode ser manipulado para obter acesso não autorizado ao kernel. Veja um detalhamento do processo de ataque:
- Os invasores se infiltram no PC alvo, geralmente por meio de comprometimentos de rede ou empregando Trojans de acesso remoto (RATs).
- Depois que o acesso é protegido, eles instalam o driver confiável rwdrv.sys.
- Este driver é explorado para obter privilégios elevados, permitindo a instalação do driver malicioso hlpdrv.sys.
- O driver hlpdrv.sys altera as configurações do Registro do Windows, desabilitando efetivamente os recursos de proteção do Microsoft Defender.
- Com essas defesas contornadas, os invasores ficam livres para instalar ransomware ou se envolver em outras atividades maliciosas.
Atualmente, o ransomware Akira tem sido associado a esses ataques. No entanto, com o Microsoft Defender ineficaz, os invasores podem executar uma ampla gama de operações maliciosas.É crucial permanecer vigilante, adotando as seguintes medidas preventivas.
Aprimorando os recursos de segurança do Windows
O Windows inclui recursos de segurança que podem impedir esses ataques, mesmo quando o Microsoft Defender está comprometido. Para reforçar suas defesas, procure por “Segurança do Windows” no menu Iniciar e ative as seguintes opções de segurança, que podem estar desabilitadas por padrão:
- Acesso Controlado a Pastas: Este recurso protege contra ameaças de ransomware mesmo se o Defender estiver offline. Acesse Proteção contra vírus e ameaças → Gerenciar configurações → Gerenciar acesso controlado a pastas e ative a opção. Você também pode designar pastas específicas para oferecer proteção adicional contra ataques de ransomware.
- Recursos de Isolamento de Núcleo: Habilitar esses recursos pode impedir a instalação de drivers vulneráveis e bloquear a execução de códigos nocivos. Garantir que essas configurações estejam ativas pode aumentar significativamente a segurança do seu sistema, potencialmente impedindo ataques BYOVD antes que eles se infiltrem. Acesse Segurança do dispositivo e acesse Detalhes de Isolamento de Núcleo.É recomendável habilitar todos os recursos aqui; no entanto, observe que a ativação da Integridade da Memória pode exigir ajustes adicionais no driver.
Removendo utilitários desnecessários no nível do kernel
Recomenda-se cautela ao usar ferramentas utilitárias que operam no nível do kernel, pois muitas utilizam o driver rwdrv.sys. Quando esse driver já está presente no sistema, simplifica o trabalho dos invasores, pois eles não precisam instalar uma cópia adicional. Esses drivers já instalados foram explorados em ataques recentes. Se você não precisa dessas ferramentas utilitárias, considere descontinuar seu uso, especialmente aquelas como Throttlestop ou RWEverything, que instalam o rwdrv.sys.
Para verificar se o rwdrv.sys está instalado, digite “cmd” na Busca do Windows, clique com o botão direito do mouse em Prompt de Comando e selecione Executar como administrador. Execute o comando where /r C:\ rwdrv.syspara realizar uma verificação. Caso a saída indique a presença do rwdrv.sys, identifique e desinstale o aplicativo responsável pela sua instalação.
Utilizando contas de usuário padrão para operações diárias
Para proteção ideal contra ameaças como BYOVD, é aconselhável utilizar uma conta padrão para atividades cotidianas, em vez de uma conta de administrador. Essa estratégia é particularmente significativa, pois o ataque utiliza privilégios de administrador para instalar ou explorar drivers vulneráveis.
Ao operar com uma conta padrão, os hackers terão dificuldade para implementar alterações elevadas no sistema, impedindo o avanço do ataque. Se ocorrer uma tentativa de intrusão, você receberá notificações sobre a ação. Para criar uma nova conta padrão, acesse Configurações do Windows, selecione Contas → Outros usuários → Adicionar conta e siga as instruções para configurar uma nova conta com privilégios padrão.
Explorando soluções antivírus alternativas
Este ataque específico foi projetado para desabilitar as proteções do Microsoft Defender; no entanto, é menos eficaz contra soluções antivírus de terceiros. Esses aplicativos empregam métodos diversos para gerenciar suas funções de proteção, dificultando que ataques como o BYOVD tenham sucesso uniforme.
Para aumentar sua segurança, considere instalar um programa antivírus gratuito e confiável com recursos de verificação em tempo real, como Avast ou AVG Antivirus.
Pesquisadores de segurança de organizações como GuidePoint e Kaspersky já rastrearam o uso do rwdrv.sys em ataques BYOVD envolvendo o ransomware Akira e publicaram indicadores de comprometimento (IoCs).Embora esperemos soluções futuras da Microsoft para resolver essa vulnerabilidade, mantenha-se proativo ativando todos os recursos de segurança disponíveis do Windows, especialmente as funcionalidades avançadas do Microsoft Defender.
Artigos relacionados:
Transformando o Windows 11 no Windows 7: Desempenho e funcionalidade aprimorados
7:26
As novas mensagens criptografadas do X são uma jogada inteligente de segurança ou apenas uma miragem?
7:23
Solução de problemas do aviso “Não cubra a área do fone de ouvido” em dispositivos Android
15:29
Deixe um comentário