Όλοι οι χρήστες των Windows θα πρέπει να ενημερώνονται αμέσως καθώς επιβεβαιώνεται η εισβολή "Πλήρης έλεγχος".

Πριν από μερικές εβδομάδες, ερευνητές από την εταιρεία κυβερνοασφάλειας Eclypsium αποκάλυψε ότι σχεδόν όλοι οι μεγάλοι κατασκευαστές υλικού έχουν ένα ελάττωμα που μπορεί να επιτρέψει σε κακόβουλες εφαρμογές να αποκτήσουν δικαιώματα πυρήνα σε επίπεδο χρήστη, αποκτώντας έτσι άμεση πρόσβαση στο υλικολογισμικό και το υλικό.

Οι ερευνητές κυκλοφόρησαν μια λίστα με προμηθευτές BIOS και κατασκευαστές υλικού που περιελάμβανε τις Toshiba, ASUS, Huawei, Intel, Nvidia και άλλα. Το ελάττωμα επηρεάζει επίσης όλες τις νέες εκδόσεις των Windows που περιλαμβάνουν τα Windows 7, 8, 8.1 και Windows 10. Ενώ η Microsoft έχει ήδη δημοσιεύσει μια δήλωση που επιβεβαιώνει ότι το Windows Defender είναι κάτι παραπάνω από ικανό να χειριστεί το ζήτημα, δεν ανέφερε ότι οι χρήστες χρειάζονται να είστε στην πιο πρόσφατη έκδοση των Windows για να επωφεληθείτε από το ίδιο. Για παλαιότερες εκδόσεις των Windows, η Microsoft σημείωσε ότι θα χρησιμοποιεί τη δυνατότητα HVCI (Hypervisor-enforced Code Integrity) για τη μαύρη λίστα προγραμμάτων οδήγησης που αναφέρονται σε αυτήν. Δυστυχώς, αυτή η δυνατότητα είναι διαθέσιμη μόνο σε επεξεργαστές Intel 7ης και μεταγενέστερης γενιάς. Έτσι, οι παλαιότερες CPU ή οι νεότερες όπου το HCVI είναι απενεργοποιημένο, απαιτούν τη μη αυτόματη απεγκατάσταση των προγραμμάτων οδήγησης.

Αν αυτά δεν ήταν αρκετά κακά νέα, οι χάκερ κατάφεραν τώρα να χρησιμοποιήσουν το ελάττωμα για να εκμεταλλευτούν τους χρήστες. Το Remote Access Trojan ή RAT υπάρχει εδώ και χρόνια, αλλά οι πρόσφατες εξελίξεις το έχουν καταστήσει πιο επικίνδυνο από ποτέ. Το NanoCore RAT πουλούσε στο Dark Web για 25 $, αλλά καταστράφηκε το 2014 και η δωρεάν έκδοση έγινε διαθέσιμη στους χάκερ. Μετά από αυτό, το εργαλείο εξελίχθηκε καθώς προστέθηκαν νέα πρόσθετα σε αυτό. Τώρα, ερευνητές από το LMNTRX Labs ανακάλυψαν μια νέα προσθήκη που επιτρέπει στους χάκερ να επωφεληθούν από το ελάττωμα και το εργαλείο είναι πλέον διαθέσιμο δωρεάν στο Dark Web.

Σε περίπτωση που υποτιμούσατε το εργαλείο, μπορεί να επιτρέψει σε έναν χάκερ να τερματίσει ή να επανεκκινήσει εξ αποστάσεως το σύστημα, να περιηγηθεί εξ αποστάσεως στα αρχεία, να αποκτήσει πρόσβαση και να ελέγξει τη Διαχείριση εργασιών, τον Επεξεργαστή Μητρώου, ακόμη και το ποντίκι. Όχι μόνο αυτό, αλλά ο εισβολέας μπορεί επίσης να ανοίξει ιστοσελίδες, να απενεργοποιήσει το φως δραστηριότητας της κάμερας web για να κατασκοπεύει το θύμα απαρατήρητο και να καταγράφει ήχο και βίντεο. Δεδομένου ότι ο εισβολέας έχει πλήρη πρόσβαση στον υπολογιστή, μπορεί επίσης να ανακτήσει κωδικούς πρόσβασης και να λάβει διαπιστευτήρια σύνδεσης χρησιμοποιώντας ένα keylogger καθώς και να κλειδώσει τον υπολογιστή με προσαρμοσμένη κρυπτογράφηση που μπορεί να λειτουργήσει σαν ransomware.

Τα καλά νέα είναι ότι το NanoCore RAT υπάρχει εδώ και χρόνια, το λογισμικό είναι πολύ γνωστό στους ερευνητές ασφαλείας. Ομάδα LMNTRX (μέσω Forbes) αναλύει τις τεχνικές ανίχνευσης σε τρεις κύριες κατηγορίες:

• T1064 – Σενάριο: Καθώς η δέσμη ενεργειών χρησιμοποιείται συνήθως από τους διαχειριστές συστήματος για την εκτέλεση εργασιών ρουτίνας, οποιαδήποτε ανώμαλη εκτέλεση νόμιμων προγραμμάτων δέσμης ενεργειών, όπως το PowerShell ή το Wscript, μπορεί να σηματοδοτήσει ύποπτη συμπεριφορά. Ο έλεγχος των αρχείων του γραφείου για κώδικα μακροεντολής μπορεί επίσης να βοηθήσει στον εντοπισμό των σεναρίων που χρησιμοποιούνται από τους εισβολείς. Οι διεργασίες του Office, όπως οι εμφανίσεις αναπαραγωγής winword.exe του cmd.exe ή οι εφαρμογές σεναρίων όπως το wscript.exe και το powershell.exe, ενδέχεται να υποδεικνύουν κακόβουλη δραστηριότητα.

• T1060 – Registry Run Keys / Startup Folder: Η παρακολούθηση του μητρώου για αλλαγές σε κλειδιά εκτέλεσης που δεν συσχετίζονται με γνωστό λογισμικό ή κύκλους ενημέρωσης κώδικα και η παρακολούθηση του φακέλου έναρξης για προσθήκες ή αλλαγές, μπορεί να βοηθήσει στον εντοπισμό κακόβουλου λογισμικού. Τα ύποπτα προγράμματα που εκτελούνται κατά την εκκίνηση ενδέχεται να εμφανίζονται ως ακραίες διεργασίες που δεν έχουν προηγηθεί σε σύγκριση με ιστορικά δεδομένα. Λύσεις όπως το LMNTRIX Respond, το οποίο παρακολουθεί αυτές τις σημαντικές τοποθεσίες και προειδοποιεί για οποιαδήποτε ύποπτη αλλαγή ή προσθήκη, μπορούν να βοηθήσουν στον εντοπισμό αυτών των συμπεριφορών.

• T1193 – Προσάρτημα Spearphishing: Τα συστήματα ανίχνευσης εισβολής δικτύου, όπως το LMNTRIX Detect, μπορούν να χρησιμοποιηθούν για την ανίχνευση ψαρέματος (spearphishing) με κακόβουλα συνημμένα κατά τη μεταφορά. Στην περίπτωση του LMNTRIX Detect, οι ενσωματωμένοι θάλαμοι έκρηξης μπορούν να ανιχνεύσουν κακόβουλα προσαρτήματα με βάση τη συμπεριφορά και όχι τις υπογραφές. Αυτό είναι κρίσιμο, καθώς η ανίχνευση βάσει υπογραφών συχνά αποτυγχάνει να προστατεύσει από εισβολείς που αλλάζουν και ενημερώνουν συχνά τα ωφέλιμα φορτία τους.

Συνολικά, αυτές οι τεχνικές ανίχνευσης ισχύουν για οργανισμούς και για προσωπικούς/οικιακούς χρήστες, το καλύτερο που έχετε να κάνετε αυτή τη στιγμή είναι να ενημερώσετε κάθε κομμάτι λογισμικού για να βεβαιωθείτε ότι εκτελείται στην πιο πρόσφατη έκδοση. Αυτό περιλαμβάνει προγράμματα οδήγησης των Windows, λογισμικά τρίτων, ακόμη και ενημερώσεις των Windows. Το πιο σημαντικό, μην κάνετε λήψη ή ανοίξτε οποιοδήποτε ύποπτο email ή εγκαταστήσετε λογισμικό τρίτου κατασκευαστή από άγνωστο προμηθευτή.