Bilgisayar korsanları belirli antivirüsleri devre dışı bırakmanın bir yolunu buldu (yeni sekmede açılır) Windows cihazlarındaki programlar, hedef cihazlara her türlü kötü amaçlı yazılımı dağıtmalarına olanak tanır.
Siber güvenlik araştırmacısı AhnLab Security geçen yıl bu türden iki saldırı gözlemledi; burada saldırganlar Çinli bir şirket tarafından oluşturulmuş bir uzaktan kontrol yazılımı olan Sunlogin’de yama yapılmamış iki güvenlik açığı buldu ve bunları kurbanların sahip olabileceği tüm güvenlik ürünlerini devre dışı bırakan gizlenmiş bir PowerShell komut dosyasını dağıtmak için kullandı. Kurulmuş.
Kötüye kullanılan güvenlik açıkları CNVD-2022-10270 ve CNVD-2022-03672 olarak izlenir. Her ikisi de Sunlogin v11.0.0.33 ve öncesinde bulunan uzaktan kod yürütme kusurlarıdır.
Hile karşıtı bir sürücüyü kötüye kullanmak
Saldırganlar, kusurları kötüye kullanmak için zaten yayınlanmış olan kavram kanıtlarını kullandı. Dağıtılmakta olan PowerShell komut dosyası, çekirdek düzeyinde ayrıcalıklar elde etmek için savunmasız Windows sürücülerinden yararlanan ince ayarlı bir Mhyprot2DrvControl açık kaynaklı program olan bir .NET taşınabilir yürütülebilir dosyasının kodunu çözer.
Bu özel araç, bir aksiyon rol yapma oyunu olan Genshin Impact için hile önleyici bir sürücü olan mhyprot2.sys dosyasını kötüye kullanır.
Araştırmacılar, “Basit bir baypas işlemiyle, kötü amaçlı yazılım, çekirdek alanına mhyprot2.sys aracılığıyla erişebilir” dedi.
“Mhyprot2DrvControl geliştiricisi, mhyprot2.sys aracılığıyla artırılan ayrıcalıklarla kullanılabilecek birden çok özellik sağladı. Bunların arasında, tehdit aktörü, birden çok kötü amaçlı yazılımdan koruma ürününü kapatan bir kötü amaçlı yazılım geliştirmek için işlemlerin zorla sonlandırılmasına izin veren özelliği kullandı. “
Saldırganlar, güvenlik işlemlerini sonlandırdıktan sonra, istedikleri kötü amaçlı yazılımı yüklemekte özgürdür. Bazen sadece ters kabukları açarlar ve diğer zamanlarda Sliver, Gh0st RAT veya XMRig kripto para madencisi kurarlardı.
Yöntem, BYOVD veya Kendi Hassas Sürücünüzü Getirin olarak bilinir. Microsoft’un bu tür saldırılara karşı önerisi, güvenlik açığı bulunan sürücü engelleme listesini etkinleştirerek sistemin güvenlik açığı olduğu bilinen sürücüleri yüklemesini veya çalıştırmasını engellemektir.
Aracılığıyla: BleepingBilgisayar (yeni sekmede açılır)
