Эксперты центра исследования киберугроз Solar 4RAYS компании Solar Group обнаружили новую кибергруппу, которая отключает защитные решения при атаках на российские компании. Эта тенденция все чаще встречается в расследованиях инцидентов.
В частности, при атаке на промышленную организацию хакеры проникли в корпоративную сеть жертвы через уязвимость в программном обеспечении DameWare Mini Remote Control (используется для удаленного управления компьютером). Затем они поместили вредоносное ПО в директорию агента администрирования антивирусного решения и в данном случае отключили антивирус «Лаборатории Касперского». Эксперты Solar 4RAYS сообщили вендору об обнаруженной механике, и «Лаборатория Касперского» оперативно доработала продукты' механизмы самозащиты.
Одной из функций загруженного вредоносного ПО было отключение MiniFilter, технологии фильтрации файловой системы в Windows, которая используется во многих решениях безопасности. Во время атаки вредоносный драйвер создает и регистрирует свой собственный MiniFilter, находит смещение функции обратного вызова MiniFilter решения безопасности и заменяет их фиктивной функцией-заглушкой, блокируя возможность антивируса осуществлять мониторинг. После этого злоумышленники могут загрузить в систему любой вирус, не опасаясь обнаружения.
«Взаимодействие отраслевых экспертов является одним из важнейших элементов обеспечения кибербезопасности, и мы благодарны специалистам Solar за подробный анализ. «Лаборатория Касперского» напоминает, что для надежной защиты от целевых атак необходимо выстраивать многоуровневую систему защиты, включающую не только автоматические решения для конечных точек, но и инструменты мониторинга и реагирования на угрозы, такие как EDR, NDR и XDR, а также активное использование инструментов киберразведки», — отметил руководитель лаборатории антивирусных исследований «Лаборатории Касперского» Владимир Кусков. «Чтобы не допустить использования злоумышленниками описанных или подобных инструментов, мы усовершенствовали механизмы обнаружения и самозащиты наших продуктов и выпустили соответствующие обновления. В частности, усилили правила обнаружения для всей цепочки эксплуатации, включая загрузку подозрительных драйверов».
Это далеко не единственный прием отключения и блокировки защитного решения, с которым сталкиваются эксперты Solar 4RAYS в своих расследованиях.
«Злоумышленники все чаще используют инструменты, позволяющие обходить различные меры безопасности. Особую опасность представляет то, что эту технику активно используют проукраинские группировки, нацеленные на уничтожение российской инфраструктуры, а не на «тихий» шпионаж, как у злоумышленников из Азии. Чтобы вовремя остановить такую атаку, необходимо регулярно проверять работоспособность установленных в инфраструктуре защитных решений и следить за тем, отправляют ли они телеметрию. Также важно проводить оценку компрометации, что существенно повышает шансы выявить атаку до наступления серьезных последствий», — отметил эксперт центра исследования киберугроз Solar 4RAYS компании Solar Group Дмитрий Маричев.
![](https://thetimeson.ru/wp-content/img/logo1.png)
Свежие комментарии