Эксперты центра исследования киберугроз Solar 4RAYS группа компаний (ГК) «Солар» обнаружили новую кибергруппировку, которая отключает защитные решения при атаках на российские компании. Этот тренд все чаще встречается при расследовании инцидентов, отмечают в Solar 4RAYS. В частности, в атаке на промышленную организацию злоумышленники использовали метод, который позволяет отключить решение любого вендора.
Вредоносный файл в системе заказчика из энергетического сектора был обнаружен в рамках мониторинга центра противодействия кибератакам Solar JSOC. В ходе расследования выяснилось, что злоумышленники проникли в корпоративную сеть через уязвимость в системе удаленного администрирования, которая использовалась без обновлений безопасности. Это позволило им загрузить вредоносный файл в директорию агента администрирования антивирусного решения и в данной атаке отключить антивирус Лаборатории Касперского. Эксперты Solar 4RAYS сообщили вендору об обнаруженной механике, после чего Лаборатория Касперского оперативно усилила механизмы самозащиты своих продуктов и выпустила обновления.
Одной из функций вредоноса было отключение MiniFilter — технологии фильтрации файловой системы в Windows. Компоненты безопасности многих защитных решений используют MiniFilter для сбора информации о файловых операциях, обнаружения аномального поведения и контроля приложений. Эта технология также применяется для защиты самого антивирусного продукта от вмешательства злоумышленников.
В ходе атаки вредоносный драйвер создавал и регистрировал собственный MiniFilter, находил смещение callback‑функции MiniFilter защитного решения и заменял их фиктивной функцией‑заглушкой, тем самым блокируя антивирусу возможность мониторинга системы. После этого злоумышленники могли загружать любой вредоносный софт, не опасаясь обнаружения стандартными средствами защиты.
Руководитель лаборатории антивирусных исследований «Лаборатории Касперского» Владимир Кусков отметил, что взаимодействие экспертов отрасли — один из важнейших элементов обеспечения киберзащиты, и выразил благодарность специалистам ГК «Солар» за подробный анализ. Владимир также подчеркнул, что для надёжной защиты от целевых атак необходимо выстраивать эшелонированную систему безопасности, включающую не только автоматические решения для конечных точек, но и средства мониторинга угроз и реагирования на них, такие как EDR, NDR и XDR, а также активное использование инструментов киберразведки. Чтобы не допустить использования описанных или аналогичных инструментов злоумышленниками, механизмы обнаружения и самозащиты продуктов были улучшены, а также выпущены соответствующие обновления. В них, в частности, были усилены правила обнаружения для всей цепочки эксплуатации, включая загрузку подозрительных драйверов.
Это далеко не единственная техника отключения и блокировки защитных решений, с которой в расследованиях сталкиваются эксперты Solar 4RAYS. Например, ранее в одной из атак злоумышленники вывели из строя IT‑инфраструктуру российской промышленной компании, также предварительно отключив антивирус. Это удалось из‑за уязвимости при взаимодействии Windows с цифровыми подписями драйверов.
Эксперт центра исследования киберугроз Solar 4RAYS ГК Солар Дмитрий Маричев отметил, что в последнее время атакующие все чаще применяют инструменты, позволяющие отключать и обходить средства защиты, поставляемые различными вендорами. Подходы и техническая реализация уклонения и деактивации защитных решений отличаются лишь деталями, например, именами файлов их компонентов. Особая опасность заключается в том, что технику теперь активно применяют проукраинские группировки, которые нацелены на уничтожение российской инфраструктуры, а не на «тихий» шпионаж, как атакующие из Азиатского региона. Чтобы вовремя пресечь подобную атаку, важно регулярно проверять работоспособность установленных в инфраструктуре защитных решений и контролировать, идет ли с них телеметрия.
Источник: habr.com
Похожие новости:
ГК «Солар»: Хакеры отключают антивирус, чтобы скрыть кибератаку»
Итоги года Solar NGFW: проекты в финансовом и государственном сегментах, 373 новые функции и стратегия на 2025 год
Программно-аппаратные комплексы Solar NGFW зарегистрированы в Реестре отечественного ПО Минцифры России
Программно-аппаратный комплекс Solar NGFW зарегистрирован в Реестре отечественного ПО Минцифры России