Tehdit aktörleri antivirüsü devre dışı bırakmanın bir yolunu buldu (yeni sekmede açılır) çözümler ve diğer uç nokta (yeni sekmede açılır) giderek daha popüler bir yöntem kullanan koruma araçları.
Sophos’tan siber güvenlik araştırmacıları, yakın zamanda, Kendi Savunmasız Sürücünüzü Getirin olarak bilinen yöntemin nasıl çalıştığını ve dünyanın dört bir yanındaki işletmelere getirdiği tehlikeleri ayrıntılı olarak anlattı.
Şirketin araştırmasına göre, fidye yazılımı operatörleri BlackByte, CVE-2019-16098 olarak izlenen bir güvenlik açığını kötüye kullanıyor. Micro-Star’ın MSI AfterBurner 4.6.2.15658 tarafından kullanılan sürücüler olan RTCore64.sys ve RTCore32.sys’de bulunur. Afterburner, GPU’lar için kullanıcılara donanım üzerinde daha fazla kontrol sağlayan bir hız aşırtma aracıdır.
Sürücüleri engelleme
Güvenlik açığı, kimliği doğrulanmış kullanıcıların rastgele belleği okumasına ve bu belleğe yazmasına olanak vererek, ayrıcalık yükseltme, kod yürütme ve veri hırsızlığına yol açar – ve bu durumda, BlackByte’ın güvenlik ürünlerinin çalıştırması gereken 1.000’den fazla sürücüyü devre dışı bırakmasına yardımcı oldu.
Sophos, “Güvenlik ürünlerini atlamak için yasal sürücüleri kötüye kullanmaya devam etme ihtimalleri yüksek” dedi. Blog yazısı (yeni sekmede açılır) tehdidi özetliyor.
Bu yeni saldırı yöntemine karşı koruma sağlamak için Sophos, BT yöneticilerinin bu belirli MSI sürücülerini etkin bir engelleme listesine eklemelerini ve uç noktalarında çalışmadıklarından emin olmalarını önerir. Ayrıca, cihazlarına yüklenen tüm sürücüleri yakından takip etmeli ve donanım eşleşmesi olmadan hileli enjeksiyonları aramak için uç noktaları düzenli olarak denetlemeliler.
Kendi Savunmasız Sürücünüzü Getirin yeni bir yöntem olabilir, ancak popülaritesi hızla artıyor. Bu haftanın başlarında, kötü şöhretli bir Kuzey Kore devlet destekli tehdit aktörü Lazarus Group’un Dell’e karşı aynı tekniği kullandığı gözlemlendi. ESET’ten siber güvenlik araştırmacıları, yakın zamanda grubun Avrupa’daki havacılık uzmanlarına ve siyasi gazetecilere Amazon’dan sahte iş teklifleriyle yaklaştığını gördü. Esasen eski, savunmasız Dell sürücüleri olan sahte iş tanımı pdf’lerini paylaşırlardı.
Bu tekniği özellikle tehlikeli yapan şey, bu sürücülerin kendi başına kötü niyetli olmaması ve bu nedenle antivirüs çözümleri tarafından işaretlenmemiş olmasıdır.
Aracılığıyla: BleeBilgisayar (yeni sekmede açılır)
