Китайские хакеры обходят защиту Windows через доверенные драйверы
Следите за новостями по этой теме!
Подписаться на «Рифы и пачки / Твоя культура»
Исследователи компании Check Point Research обнаружили, что китайская хакерская группа Silver Fox использует ранее доверенные драйверы Windows для взлома систем защиты. В центре внимания оказался драйвер WatchDog Antimalware с именем файла amsdk.sys, версия 1.0.600. Этот компонент раньше считался безопасным и использовался в антивирусном ПО WatchDog Antimalware. Однако выяснилось, что злоумышленники применяют его для отключения антивирусов и инструментов мониторинга (EDR), после чего заражают устройства вредоносной программой ValleyRAT.
ValleyRAT — это тип бэкдора: он позволяет кибершпионам выполнять любые команды, скачивать и передавать данные с заражённого компьютера. Кроме WatchDog, злоумышленники эксплуатировали также драйвер ZAM.exe, входящий в антивирус Zemana. Такой подход позволял взломщикам оставаться совместимыми сразу с несколькими версиями Windows: от Windows 7 до Windows 11.
Check Point отмечает, что список уязвимых драйверов расширяется, методы атаки совершенствуются. Инфраструктура для загрузки вирусов размещалась в Китае, используемые загрузчики содержали сразу оба уязвимых драйвера, уникальные механизмы скрытности и сохранения в системе. Злоумышленники также заранее закодировали список процессов безопасности, которые их вредонос должен "убить" на машине жертвы.
Хотя компания WatchDog выпустила обновление, устраняющее часть уязвимостей, всё равно остаётся возможность завершения произвольных процессов через этот драйвер. Безопасность систем теперь зависит от того, насколько оперативно специалисты блокируют опасные драйверы и обнаруживают подозрительный трафик. Эксперты рекомендуют следить за списком блокировок драйверов Microsoft, применять для поиска вредоносов специальные правила YARA, а также постоянно мониторить сеть на предмет аномалий.
Китайские хакеры снова показали, насколько условно понятие «доверия» в мире информационных технологий. Когда Microsoft говорит, что драйвер — безопасен, найдётся охотник проверить это в бою. Silver Fox более не экспериментируют: они берут антивирусные драйверы, превращают их в щит — и режут именно им оборону. Новый раунд «игры с уязвимостями» стартует, как только производитель выкладывает патч: одно латать — другое всплывает.
Эксперты любят упоминать правила YARA — магия для продвинутых, которой пользуются далеко не все. Обычные пользователи как были, так и останутся в числе «естественных жертв» этических учёных и вечно занятых IT-отделов. К чему здесь вся эта показная оперативность с обновлениями, если через неделю кто-то «случайно» находит пролом? Армия китайских испытуемых, инфраструктура для загрузки своя — «сделано в Поднебесной».
Стоит ли ждать резонанса в России? Информационная безопасность — как зонтик-невидимка: всем кажется, что он есть, а вот вдруг льёт как из ведра. Приходится надеяться на черные списки драйверов, сетевой анализ, а остальным совет — перепрошить... свою веру в защитников программных бастионов. Да, тут не до шуток — но хуже становится без смеха.