Эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар» обнаружили новую кибергруппировку, которая отключает защитные решения при атаках на российские компании. Этот тренд все чаще встречается при расследовании инцидентов, отмечают в Solar 4RAYS. В частности, в атаке на промышленную организацию злоумышленники использовали метод, который позволяет отключить решение любого вендора.

Вредоносный файл в системе заказчика из промышленной отрасли был обнаружен в рамках мониторинга центра противодействия кибератакам Solar JSOC. В ходе расследования выяснилось, что злоумышленники проникли в корпоративную сеть через уязвимость в ПО «DameWare Mini Remote Control», которое используется для удаленного управления компьютером. Оказалось, что со времен пандемии для отдельных систем в инфраструктуре порт DameWare так и остался доступен из внешней сети. Далее киберпреступники разместили вредоносный файл в директории агента администрирования антивирусного решения и в данной атаке отключили антивирус «Лаборатории Касперского». Эксперты Solar 4RAYS сообщили вендору об обнаруженной механике, в результате чего «Лаборатория Касперского» оперативно доработала механизмы самозащиты продуктов и выпустила соответствующие обновления.

Одной из функций вредоноса было отключение MiniFilter – технологии фильтрации файловой системы в Windows. Компоненты безопасности многих защитных решений используют MiniFilter для сбора информации об операциях в файловой системе, обнаружения необычного поведения, контроля за приложениями и анализа потенциальных угроз. Эту технологию также используют для защиты самого ИБ-продукта от несанкционированного доступа и отключения злоумышленниками.

В ходе подобной атаки вредоносный драйвер создает и регистрирует собственный MiniFilter, находит смещение callback-функции MiniFilter защитного решения и заменяет их фиктивной функцией-заглушкой, таким образом блокируя антивирусу возможность мониторинга. После этого злоумышленники могут загружать любой вредоносный софт на систему, не боясь обнаружение базовыми средствами защиты.

«Мы уверены, что взаимодействие экспертов отрасли – один из важнейших элементов обеспечения киберзащиты, и благодарны специалистам «Солар» за подробный анализ. "Лаборатория Касперского" напоминает, что для надежной защиты от целевых атак необходимо выстраивать эшелонированную систему защиты, включающую в себя не только автоматические решения для конечных точек, но и средства мониторинга угроз и реагирования на них, такие как EDR, NDR и XDR, а также активное использование инструментов киберразведки, – отметил Владимир Кусков, руководитель лаборатории антивирусных исследований «Лаборатории Касперского». – Чтобы не допустить использования описанных или аналогичных инструментов злоумышленниками, мы улучшили механизмы обнаружения и самозащиты продуктов и выпустили соответствующие обновления. В них, в частности, были усилены правила обнаружения для всей цепочки эксплуатации, включая загрузку подозрительных драйверов».

Это далеко не единственная техника отключения и блокировки защитного решения, с которой в расследованиях сталкиваются эксперты Solar 4RAYS. Например, ранее в одной из атак злоумышленники вывели из строя ИТ-инфраструктуру российской промышленной компании, также предварительно отключив антивирус. Это удалось из-за изъяна при взаимодействии операционной системы Windows с цифровыми подписями драйверов.

«В последнее время атакующие все чаще применяют инструменты, позволяющие отключать и обходить средства защиты, поставляемые различными вендорами. Подходы и техническая реализация уклонения и деактивации защитных решений отличаются лишь деталями, например, именами файлов их компонентов. Особая опасность заключается в том, что технику теперь активно применяют проукраинские группировки, которые нацелены на уничтожение российской инфраструктуры, а не на «тихий» шпионаж, как атакующие из Азиатского региона. Чтобы вовремя пресечь подобную атаку, нужно регулярно проверять работоспособность установленных в инфраструктуре защитных решений и контролировать, идет ли с них телеметрия. Кроме того, важно периодически проводить оценку компрометации, что значительно повышает шансы выявить атаку до наступления серьезных последствий», – сказал, эксперт центра исследования киберугроз Solar 4RAYS ГК "Солар» Дмитрий Маричев.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Тонкие настройки прав доступа в новом релизе IdM-системы Solar inRights

Тонкие настройки прав доступа в новом релизе IdM-системы Solar inRights

Узнать больше
«Солар» расширяет пул разработчиков OCR-технологий

«Солар» расширяет пул разработчиков OCR-технологий

Узнать больше
Новая версия CyberMir 7.2: более 30 тематических мероприятий по отработке навыков от «красных» до «белых» команд

Новая версия CyberMir 7.2: более 30 тематических мероприятий по отработке навыков от «красных» до «белых» команд

Узнать больше
От атаки до защиты за 5 секунд: «Солар» запускает услугу облачной сигнализации для экстренного реагирования на DDoS-атаки

От атаки до защиты за 5 секунд: «Солар» запускает услугу облачной сигнализации для экстренного реагирования на DDoS-атаки

Узнать больше
MULTIFACTOR и Solar SafeInspect усиливают защиту учетных записей привилегированных пользователей

MULTIFACTOR и Solar SafeInspect усиливают защиту учетных записей привилегированных пользователей

Узнать больше
«Солар» приобрел 90% компании Hexway для выхода в новые сегменты рынка решений для безопасной разработки ПО

«Солар» приобрел 90% компании Hexway для выхода в новые сегменты рынка решений для безопасной разработки ПО

Узнать больше
Это мы не проходили: как стать администратором СЗИ?

Это мы не проходили: как стать администратором СЗИ?

Узнать больше
Безопасное цифровое общество начинается здесь: объявлены даты Российской недели кибербезопасности и SOC Forum

Безопасное цифровое общество начинается здесь: объявлены даты Российской недели кибербезопасности и SOC Forum

Узнать больше
За деньги и данные – да: Solar 4RAYS представила отчет о расследовании сложных кибератак в 1 полугодии

За деньги и данные – да: Solar 4RAYS представила отчет о расследовании сложных кибератак в 1 полугодии

Узнать больше