«Солар»: хакеры отключают антивирус, чтобы скрыть кибератаку

Эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар» обнаружили новую кибергруппировку, которая отключает защитные решения при атаках на российские компании. Этот тренд все чаще встречается при расследовании инцидентов, отмечают в Solar 4RAYS. В частности, в атаке на промышленную организацию злоумышленники использовали метод, который позволяет отключить решение любого вендора.

Вредоносный файл в системе заказчика из промышленной отрасли был обнаружен в рамках мониторинга центра противодействия кибератакам Solar JSOC. В ходе расследования выяснилось, что злоумышленники проникли в корпоративную сеть через уязвимость в ПО «DameWare Mini Remote Control», которое используется для удаленного управления компьютером. Оказалось, что со времен пандемии для отдельных систем в инфраструктуре порт DameWare так и остался доступен из внешней сети. Далее киберпреступники разместили вредоносный файл в директории агента администрирования антивирусного решения и в данной атаке отключили антивирус «Лаборатории Касперского». Эксперты Solar 4RAYS сообщили вендору об обнаруженной механике, в результате чего «Лаборатория Касперского» оперативно доработала механизмы самозащиты продуктов и выпустила соответствующие обновления.

Одной из функций вредоноса было отключение MiniFilter – технологии фильтрации файловой системы в Windows. Компоненты безопасности многих защитных решений используют MiniFilter для сбора информации об операциях в файловой системе, обнаружения необычного поведения, контроля за приложениями и анализа потенциальных угроз. Эту технологию также используют для защиты самого ИБ-продукта от несанкционированного доступа и отключения злоумышленниками.

В ходе подобной атаки вредоносный драйвер создает и регистрирует собственный MiniFilter, находит смещение callback-функции MiniFilter защитного решения и заменяет их фиктивной функцией-заглушкой, таким образом блокируя антивирусу возможность мониторинга. После этого злоумышленники могут загружать любой вредоносный софт на систему, не боясь обнаружение базовыми средствами защиты.

«Мы уверены, что взаимодействие экспертов отрасли – один из важнейших элементов обеспечения киберзащиты, и благодарны специалистам «Солар» за подробный анализ. "Лаборатория Касперского" напоминает, что для надежной защиты от целевых атак необходимо выстраивать эшелонированную систему защиты, включающую в себя не только автоматические решения для конечных точек, но и средства мониторинга угроз и реагирования на них, такие как EDR, NDR и XDR, а также активное использование инструментов киберразведки, – отметил Владимир Кусков, руководитель лаборатории антивирусных исследований «Лаборатории Касперского». – Чтобы не допустить использования описанных или аналогичных инструментов злоумышленниками, мы улучшили механизмы обнаружения и самозащиты продуктов и выпустили соответствующие обновления. В них, в частности, были усилены правила обнаружения для всей цепочки эксплуатации, включая загрузку подозрительных драйверов».

Это далеко не единственная техника отключения и блокировки защитного решения, с которой в расследованиях сталкиваются эксперты Solar 4RAYS. Например, ранее в одной из атак злоумышленники вывели из строя ИТ-инфраструктуру российской промышленной компании, также предварительно отключив антивирус. Это удалось из-за изъяна при взаимодействии операционной системы Windows с цифровыми подписями драйверов.

«В последнее время атакующие все чаще применяют инструменты, позволяющие отключать и обходить средства защиты, поставляемые различными вендорами. Подходы и техническая реализация уклонения и деактивации защитных решений отличаются лишь деталями, например, именами файлов их компонентов. Особая опасность заключается в том, что технику теперь активно применяют проукраинские группировки, которые нацелены на уничтожение российской инфраструктуры, а не на «тихий» шпионаж, как атакующие из Азиатского региона. Чтобы вовремя пресечь подобную атаку, нужно регулярно проверять работоспособность установленных в инфраструктуре защитных решений и контролировать, идет ли с них телеметрия. Кроме того, важно периодически проводить оценку компрометации, что значительно повышает шансы выявить атаку до наступления серьезных последствий», – сказал, эксперт центра исследования киберугроз Solar 4RAYS ГК "Солар» Дмитрий Маричев.